新攻撃ツールの「CRIME」は、圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまうという。
アルゼンチンで9月19日から開かれるセキュリティカンファレンス「ekoparty」で、2人のセキュリティ研究者がTLS/SSLを攻撃する新ツール「CRIME」の発表を予定している。米セキュリティ機関のSANS Internet Storm Centerがブログで伝えた。
SANSの13日のブログによると、同ツールは圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまう。この攻撃は、WebサイトとWebブラウザの両方がSPDYをサポートしている場合にのみ通用するようだとしている。
SPDYをサポートしているのは、主要ブラウザではMozillaのFirefoxとGoogle Chrome、WebサイトではGoogle、Gmail、Twitterなど。一方、Internet Explorer(IE)とAppleのSafariはSPDYをサポートしていないため、この問題の影響を受けないとされる。
Ekopartyで発表を予定しているのは、2011年のekopartyでやはりTLS/SSL攻撃ツールの「BEAST」を発表した2人の研究者。今年のEkopartyのWebサイトに掲載された発表内容の概略で、CRIMEについて「私たちがコーヒーショップであなたの隣に座って、あなたの電子メールや銀行口座、ソーシャルネットワーキングなどにアクセスできてしまうかもしれない」と解説している。
SANSの研究者は、この脆弱性が解決されるまでは、HTTPSを使ったWebサイトでSPDYプロトコルを無効にすることが推奨されるとアドバイスしている。
Copyright © ITmedia, Inc. All Rights Reserved.