JPCERT/CC、SSL/TLSセキュリティ脆弱性「FREAK」に注意喚起

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は3月9日、「JVNVU#99125992: SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)」において、SSL/TLSの実装系の中には意図的に強度の弱い暗号機能を使用するように誘導が可能な脆弱性が存在すると伝えた。JPCERT/CCはSSL/TLSの設定変更やアップデート版の適用などの対策を実施するよう呼びかけている。

これは先日明らかになった「FREAK」と呼ばれる、複数のSSL/TLS実装系に存在する脆弱性に対する注意喚起となっている。歴史的な背景からSSL/TLSの実装系は暗号強度の弱い機能を実装して使っていた時期があり、その実装が現在でも有効になっていることが今回の問題を引き起こす原因の1つになっている。

「FREAK」は特定のソフトウェアに存在する脆弱性というよりも、SSL/TLSを実装しているまたはそれに対応しているさまざまなソフトウェアが脆弱性を抱えているという点で影響の範囲が多方面に及んでいる。