1分で読む「Logjam」脆弱性と対策

セキュリティ各社の解説をもとに平易になるようまとめています。

[ITmedia]

「Logjam」脆弱性の危険性とは？

　簡単に言えば、WebブラウザやWebサイトなどで通信内容を暗号化する仕組みに関係する問題です。この脆弱性を悪用する人間は、コンピュータの計算能力を使って通信内容を解読できる古い暗号化方式に切り替えさせることができてしまい、暗号化された通信の内容を盗聴します。攻撃者は盗聴で不正に得た情報を別の攻撃（例えば、なりすましや不正アクセスなど）に利用する可能性があり、被害の拡大にもつながります。

誰が危ない？

　インターネットなどで暗号化通信を利用している数多くのユーザーとWebサイトに影響する可能性があります。インターネットは不特定多数の人が利用するため、中には古いWebブラウザを利用する人もいます。Webサイト側も古いWebブラウザでしか使えない古い暗号化方式に対応せざるを得ない場合があります。脆弱性を報告したセキュリティ研究者の調査によれば、大手100万サイトの8.4％（約8万4000サイト）がこの脆弱性の影響を受けるとしています。

　研究者のWebページ（英語）ではユーザーのWebブラウザが脆弱性の影響を受けるかどうかを簡単にチェックができます。

判定結果の一例（Windows 7、IE 10の場合）

対策は？

　セキュリティ会社のシマンテックやトレンドマイクロによれば、一般のユーザーは普段利用しているWebブラウザを最新版に更新する必要があります。Microsoft Internet ExplorerやGoogle Chrome、Mozilla Firefox、Apple Safariなど代表的なWebブラウザでは脆弱性の修正作業が進められ、既に一部の製品では修正が完了しているもようです（2015年5月22日現在）。

　WebサイトやWebアプリケーション管理者、担当者は、まず自身のシステムが問題につながる512ビットの暗号アルゴリズムをサポートしているかどうかを確認します。サポートしている場合は、このアルゴリズムのサポートを中止し、解読が困難とされる1024ビット以上のアルゴリズムをサポートするように変更します。セキュリティ各社は、可能であれば2048ビットのアルゴリズムのサポートを推奨しています。

　今回の「Logjam」脆弱性と似た、「FREAK」と呼ばれる脆弱性問題が2015年3月に発覚しました。WebサイトやWebアプリケーションで「FREAK」の脆弱性をまだ解決していない場合、「Logjam」の脆弱性を解決することで、同時に「FREAK」の脆弱性も解決できるようです。

---

　「FREAK」や「Logjam」の問題は、いずれも米国政府がその昔に輸出規制の対象にしていた古い暗号化方式に関わるものです。規制が解除された後も、WebサイトやWebアプリケーションなどでは古い暗号化方式がサポートされてきたため、広い範囲に影響しかねない問題として注目されています。古い暗号化方式しか使えないアプリケーションやシステムもありますが、大半のアプリケーションやシステムは新しい暗号化方式だけをサポートするようにしても、あまり支障がないと考えられます。よほどの事情がない場合は、上述の対策を速やかに実施することが望まれています。