TorノードにOpenSSLの脆弱性、通信内容の平文流出も

脆弱性のある出口ノードのユーザートラフィックが平文で流出し、ホスト名やダウンロードしたWebコンテンツ、セッションIDなどの情報が露出していることが分かったという。

[鈴木聖子，ITmedia]

　OpenSSLの脆弱性が見つかった問題で、匿名化ツールTorの多数のノードが影響を受け、トラフィックが平文で流出する恐れがあることが分かった。Tor Projectは脆弱性のあるノードのブラックリストを公表している。

　セキュリティ研究者のコリン・マリナー氏は、4月11日から13日にかけ、約5000のTorをスキャンして脆弱性の影響を調べた。

　その結果、約20％に当たる1045ノードにOpenSSLの脆弱性が存在することを確認。流出したメモリを調べたところ、脆弱性のある出口ノードのユーザートラフィックが平文で流出していて、ホスト名やダウンロードしたWebコンテンツ、セッションIDなどの情報が露出していることが分かったという。

　TorではSSLを使って各ノード間のトラフィックを暗号化しており、OpenSSLの脆弱性が発覚した時点で影響を受けるTorコンポーネントについての情報を公開していた。4月16日のメーリングリストでは、これまでに脆弱性が発覚してリジェクトした380ノードのブラックリストを公表した。