SSLの脆弱性でTwitterのパスワード入手に成功

研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。

» 2009年11月17日 08時06分 公開
[ITmedia]

 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のブログによると、TLS/SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。

 脆弱性はTLS/SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。

 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得することに成功したという。

 なお、この問題に対処した更新版の「OpenSSL 0.9.8l」ではリネゴシエーションの処理が無効化されており、Twitterは既にこれを適用したと研究者は伝えているという。しかしSSLプロトコルを使っているのはHTTPSだけでなく、この脆弱性をめぐっては今後も新たな展開があるかもしれないとISSは予想している。

過去のセキュリティニュース一覧はこちら

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

関連キーワード

脆弱性 | SSL | OpenSSL


関連ホワイトペーパー

脆弱性 | SSL


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ