2015年3月5日 15:04
SSL/TLSの脆弱性「FREAK」の実態が明らかに
OpenSSLは、昨年発見された深刻な脆弱性「Heartbleed」に続き、2015年1月にも脆弱性「FREAK」が発見されたが、この脆弱性の危険性が明らかになったことを、The Washington Postなどの複数の米国メディアが伝えている。セキュリティ関連のニュースサイト「Dark Reading」に掲載された記事「FREAK Out: Yet Another New SSL/TLS Bug Found」が簡潔に内容を伝えている。「FREAK」は、OpenSSL 1.0.1kおよびこれよりも前のバージョンやAppleのSafariなどに存在していることが確認されているという。
Dard Readingに掲載された記事では、「FREAK」は最終的に中間者攻撃(man-in-the-middle attach)につながるものだと説明されている。中間者攻撃を実施された場合、HTTPS経由で通信していたとしても、クライアントとサーバの間の通信を傍受されることになり、認証データなどの機密性の高いデータを盗まれる危険性がある。
また、「FREAK」は米国当局が実施してきた暗号化技術の輸出規制に端を発しているとの説明もある。