- 2015年3月5日
- その他脆弱性情報
暗号化通信に脆弱性「FREAK」が判明
速報です。OpenSSLに脆弱性が発見されました。
暗号化プロトコルである「SSL/TLS」のライブラリの多くに脆弱性が存在し、通信内容を盗聴したり改ざんする中間者攻撃「FREAK」が可能となることがわかった。
問題の脆弱性は、中間者攻撃で暗号化通信の下位互換により脆弱な暗号化通信を行わせるもの。米国で暗号技術の輸出規制が行われていた1990年代当時の脆弱な暗号が利用されるため、暗号化通信を盗聴されたり、改ざんされるおそれがある。
今回の問題が判明するきっかけとなったのは、OpenSSLにおける脆弱性「CVE-2015-0204」。
~~~~~~~~~~~~~~~~~~~~~~~~
今回、同脆弱性についてOpenSSL以外の暗号化ライブラリについても、影響を受けることが判明したもので、輸出レベルの秘密鍵に対する攻撃であることから、「FREAK(Factoring attack on RSA-EXPORT Keys)」と名付けられた。 (Security NEXT – 2015/03/04 )
対象サイトはかなり多いようです。ミシガン大学の研究者チームのテストでは、実に3分の1以上が、「FREAK」攻撃に対して無防備だと報じています。
そして、この脆弱性への対策ですが、現在では、OpenSSLにおける脆弱性「CVE-2015-0204」に関する修正パッチが配布されております。
各ベンダーがこれを使い、個別のユーザーへパッチを配付する、という流れです。
Appleはすでにこの脆弱性を修正したパッチを開発しはじめており、3月9日の週に配布を開始する予定だそうです。
Googleは正式な回答をしておりません。
このように古い規格や規制によって設定されたものが現代において脆弱な状態であると発見されるケースは今後も増えそうです。
「FREAK」に関しましては、新しい情報が入り次第更新していきます。