HTTPSに新たな脆弱性が見つかる - 影響は広範囲か

ESETは5月20日(現地時間)、「Logjam attack leaves thousands of HTTPS websites vulnerable」において「Logjam」と呼ばれる新しい脆弱性について伝えた。Logjamはディフィー・ヘルマン鍵交換の特性に起因する脆弱性で、HTTPSなどディフィー・ヘルマン鍵交換を使った通信の内容を攻撃者によって傍受される危険性があるという。

Logjamの詳細は研究者らによって公開された論文「Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice」にまとまっている。これによると、トップ100万のHTTPSドメインのうち、約18%にこの脆弱性が存在しているとのことだ。HTTPSに限らず、ディフィー・ヘルマン鍵交換を使った秘匿通信には同じ脆弱性が存在している可能性があり注意が必要。影響は広範囲に及ぶと見られる。

この脆弱性への対策として、研究者らは主要ブラウザの最新版はこうした脆弱な状況に陥らないように対処が取り込まれていることから、最新のブラウザを使うことを勧めている。今後、さまざまなベンダやプロジェクトからLogjamに関する情報の発表が続くと考えられるため、それらをもとに利用しているソフトウェアに脆弱性が存在するかどうか確認していただきたい。