Microsoft、「FREAK」の脆弱性発覚で対応を説明

WindowsへのTLS/SSL実装に使われている「セキュアチャネル」（Schannel）に脆弱性があり、サポート対象の全Windowsが影響を受ける。

[鈴木聖子，ITmedia]

Windowsにも脆弱性の影響が及ぶ

　インターネットの通信の暗号化に使われるTLS/SSLプロトコルに1990年代の米暗号輸出規制に起因する脆弱性が発覚した問題（FREAK）で、米Microsoftは3月5日にアドバイザリーを公開し、WindowsへのTLS/SSL実装に使われている「セキュアチャネル」（Schannel）にこの脆弱性が存在していることを確認した。

　アドバイザリーによると、Schannelの脆弱性はサポート対象の全Windowsが影響を受ける。同社で検証した結果、攻撃者がこの問題を突いた中間者攻撃を仕掛ければ、暗号化されたSSL/TLSセッションの質を低下させ、クライアントシステムに強度の弱いRSA輸出暗号を使わせて、暗号を解除できてしまう恐れがあることが確認された。

　現時点で、この手口を使って実際にユーザーが攻撃されたという報告は入っていないという。同社は月例または臨時のセキュリティ更新プログラムを公開して脆弱性を修正する方針。それまでの対策として、RSA鍵交換暗号を無効にする方法などを紹介している。

　FREAKの脆弱性は、OpenSSLの1.0.1kより前のバージョンやAppleのSecureTransportなどにも存在する。WebブラウザではInternet Explorer（IE）やAppleのSafari、GoogleのAndroidブラウザやChrome（41より前のバージョン）が影響を受ける。Appleのパッチは3月9日の週にも公開される見通し。また、FacebookやFBIなども輸出グレードの暗号を無効にする措置を講じている。