「FREAK」の脆弱性問題、国内サイト多数にも影響か

米国の古い暗号輸出規制に起因するTLS/SSLプロトコルの脆弱性は、Alexaの上位100万サイトの「.jp」ドメインだけ2700サイト以上に影響するようだ。

» 2015年03月09日 12時26分 公開
[ITmedia]

 インターネット通信の暗号化に使われるTLS/SSLプロトコルに1990年代の米暗号輸出規制に起因する脆弱性(通称「FREAK」)が発覚した問題は、多数の国内サイトにも影響が及ぶようだ。一方、ブラウザベンダーでの対応も進みつつある。

マイクロソフトのセキュリティアドバイザリー

 この脆弱性は、フランス国立情報学自動制御研究所や米Microsoftなどの研究チームが発見したもので、OpenSSLの1.0.1kより前のバージョンやMicrosoft WindowsのSchannel、AppleのSecureTransportなどにも存在する。脆弱性を悪用された場合、中間者攻撃などによって通信が強度の弱い512ビット以下の「RSA Export Suites」に切り替えさせられ、第三者に通信の内容を盗聴されたり、改ざんされてしまったりする恐れがある。

 トレンドマイクロによれば、現在のコンピュータの能力を使えば512ビットのRSA Export Suitesによる暗号化通信は約7時間で復号化できるといい、100ドル程度で復号化に必要なコンピュータのリソースをクラウドから調達できると解説している。

 FREAK問題の情報を提供する「freakattack.com」によると、米国時間3月6日現在でAlexaの上位100万サイトの9.5%が脆弱性の影響を受けるという。この割合は脆弱性情報が公開された同月3日に比べると、約3ポイント低下した。なお、全てのHTTPサーバでは26.3%が影響を受けるとしている。

 脆弱性の影響を受けるとしたAlexaの上位100万サイトのうち、「.jp」ドメインは2700サイト以上あり、上位1万サイトでは少なくとも17の日本語サイトが見つかった。この中には大手金融機関や航空、メーカー、メディア、オンラインサービスなどの企業が含まれている。

「FREAK」の脆弱性が存在するドメインの割合(freakattack.comより)

 米セキュリティ機関のUS-CERTによると、既にGoogleがAndroid OSとMac向けのChromeブラウザで脆弱性に対処したという。freakattack.comの脆弱性確認サービスではWindows向けのChromeブラウザの最新版でも脆弱性が解決されているもようだ。また、Appleは3月9日の週にセキュリティアップデートのリリースを予定しているといい、Microsoftはセキュリティアドバイザリーを公開して当面の回避策などを紹介している。

 対策としてトレンドマイクロは、一般ユーザーには脆弱性が修正されたソフトウェアの利用を推奨し、未修正の製品の利用は避けること、サーバ管理者にはRSA Export Suitesの使用を停止するとともに、OpenSSLを最新版に更新するようアドバイスしている。

関連キーワード

脆弱性 | SSL | TLS | ドメイン | 暗号化


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ