SSL／TLSの脆弱性突く攻撃方法が発覚、MSやMozillaが対応表明

米Microsoftはセキュリティアドバイザリーを公開、MozillaはFirefoxブラウザの対応についてブログで説明した。

[鈴木聖子，ITmedia]

　Webトラフィックの通信暗号化に用いられるSSL／TLSプロトコル関連の脆弱性を突く攻撃方法がセキュリティカンファレンスで発表されたことを受け、米MicrosoftやMozillaなど主要Webブラウザのメーカーが対応に乗り出した。

　この攻撃方法はアルゼンチンのブエノスアイレスで開かれたセキュリティカンファレンス「ekoparty」で9月23日に発表された。脆弱性はSSL 3.0とTLS 1.0が影響を受け、悪用された場合、攻撃者にSSL／TLS通信の暗号を解読され、cookieなどの重要な情報を盗まれる恐れがあるとされる。

　Microsoftはこの問題について26日付でセキュリティアドバイザリーを公開した。同社の製品ではWindowsコンポーネントがこの問題の影響を受け、攻撃経路としてWebブラウザのHTTPプロトコルが利用される可能性があるという。

　ただし現時点でこの脆弱性が実際に悪用されているとの報告はなく、問題を悪用するためには攻撃者が複数の条件を満たす必要があることから、ユーザーにとってそれほど大きなリスクはないと同社は見ている。Microsoftは調査が完了した時点で、セキュリティ更新プログラムの公開などでこの問題に対処する方針。

　一方、Mozillaのブログによると、Firefoxブラウザはデフォルトの設定ではこの脆弱の影響は受けないという。しかしJavaプラグインの弱点を突いて攻撃を仕掛けられる恐れがあることが判明しており、ユーザーには念のため、Firefoxのアドオン管理画面でJavaを無効にすることを勧めるとした。