ニュース
» 2012年09月18日 07時30分 UPDATE

研究者が新たなTLS/SSLの脆弱性攻撃ツール発表へ、HTTPSセッションを乗っ取り可能

新攻撃ツールの「CRIME」は、圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまうという。

[鈴木聖子,ITmedia]

 アルゼンチンで9月19日から開かれるセキュリティカンファレンス「ekoparty」で、2人のセキュリティ研究者がTLS/SSLを攻撃する新ツール「CRIME」の発表を予定している。米セキュリティ機関のSANS Internet Storm Centerがブログで伝えた。

 SANSの13日のブログによると、同ツールは圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまう。この攻撃は、WebサイトとWebブラウザの両方がSPDYをサポートしている場合にのみ通用するようだとしている。

 SPDYをサポートしているのは、主要ブラウザではMozillaのFirefoxとGoogle Chrome、WebサイトではGoogle、Gmail、Twitterなど。一方、Internet Explorer(IE)とAppleのSafariはSPDYをサポートしていないため、この問題の影響を受けないとされる。

 Ekopartyで発表を予定しているのは、2011年のekopartyでやはりTLS/SSL攻撃ツールの「BEAST」を発表した2人の研究者。今年のEkopartyのWebサイトに掲載された発表内容の概略で、CRIMEについて「私たちがコーヒーショップであなたの隣に座って、あなたの電子メールや銀行口座、ソーシャルネットワーキングなどにアクセスできてしまうかもしれない」と解説している。

 SANSの研究者は、この脆弱性が解決されるまでは、HTTPSを使ったWebサイトでSPDYプロトコルを無効にすることが推奨されるとアドバイスしている。

関連キーワード

TLS | SPDY | 脆弱性 | HTTPS


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -