SSL/TLSの脆弱性「FREAK」の実態が明らかに

米国政府は過去に強度の高い暗号化技術を海外に輸出することを禁止していた。このため、オープンソース・ソフトウェアなどにおいても当時は配布物に強度の高い暗号化実装を含めないといった処置をとっていた。こうしたこともあり、強度の弱い暗号化技術の実装系が世界中で使われるようになったが、この当時のコードが「FREAK」につながっているとのことだ。

「HTTPS Sites that support RSA Export Suites」に、「FREAK」の影響を受けるサーバの国別の割合が掲載されているが、日本は米国に次いで第2位となっており、弱い暗号化技術を使用する設定になっているサーバが存在していることがわかる。該当するソフトウェアのバージョンを使用している場合は、脆弱性が修正されたバージョンへアップグレードすることが推奨される。