2015年3月6日 08:08
信頼あるWebサイトでも4割に影響 - トレンドマイクロがSSL脆弱性で注意喚起
トレンドマイクロは3月5日、同社のセキュリティブログにおいて、1990年代から存在していたと考えられる脆弱性について注意喚起を行った。
脆弱性は「Factoring RSA Export Keys(FREAK)」と命名されており、この脆弱性が悪用されると、利用者がSSL/TLSを行う際に強度の弱い暗号(RSA Export Suites)を使用させるられる。強度の弱い暗号が解読されることにより、通信の盗聴、改ざんが行われる危険性がある。
FREAKは、パリのフランス国立情報学自動制御研究所(INRIA)所属の Karthikeyan Bhargavan氏、および同研究所とMicrosoft による共同プロジェクトチーム「miTLS」によって確認。「OpenSSL」(0.9.8zd未満・1.0.0p未満の1.0.0バージョン・1.0.1k未満の1.0.1バージョン)および Apple の SSL/TLS通信のクライアントがSSL/TLS通信で扱った情報が、中間者(MitM)攻撃により盗聴、改ざんされる可能性があるという。
この脆弱性を利用した攻撃の前提条件は、接続元クライアントとしてこの脆弱性の影響を受けるソフトを使用し、接続先サーバが「RSA Export Suites」