iOSのSSL/TLS通信傍受の脆弱性は「悪夢」、OS Xにも存在

[鈴木聖子，ITmedia]

　AppleのiOSにSSL関連の脆弱性が見つかった問題で、この脆弱性はOS Xにも存在していることが判明した。この問題は第三者が通信に割り込む「中間者攻撃」に利用される恐れがあり、非常に危険度が高いとして、セキュリティ専門家はできるだけ早くアップデートを適用するよう呼びかけている。

　Appleが公開しているソースコードを調べたGoogleの研究者、アダム・ラングリー氏は、この脆弱性がiOSだけでなく、OS X 10.9.1にも存在していることを確認したと、自身のブログで報告した。

　同氏によると、ソースコードの中の証明書をチェックするプロセスで、「goto fail」というコードが手違いで2回繰り返されている箇所が見つかった。この余分な1行のために、接続の認証がチェックされないままTLS接続に成功してしまう状態だったという。「コードの奥深くにこのようなバグがあるのは悪夢だ」と同氏は言う。

アダム・ラングリー氏が示したコード（同氏のブログより）

　Appleは「iOS 7.0.6」「iOS 6.1.6」を2月21日付で公開してこの問題を修正した。SANS Internet Storm Centerによれば、OS Xのアップデートも「間もなく」配信予定だと説明しているという。

　ラングリー氏は、主要ブラウザでこの脆弱性の影響を受けるかどうかチェックできるテストページを開設した。SANSの研究者がOS XとFirefox、Google Chrome、Safariの組み合わせでそれぞれテストしたところ、OS XとSafariの組み合わせが影響を受けることを確認した。一方、FirefoxとChromeを使えば問題なさそうだとしている。

テストページでの結果

　セキュリティ企業のCrowdStrikeは、この脆弱性を突いて中間者攻撃を仕掛けられた場合、攻撃者が信頼できるエンドポイントを装って暗号化されたトラフィックを傍受し、データを改ざんして不正なコードを送り込むといったことが可能になると解説。対策として、外出先で信頼できないWi-Fiを使うことなどは避けた方がいいと助言している。