SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり：セキュリティニュースアラート

Windows向けSSHクライアントである「PuTTY」に重大な脆弱性が見つかった。これを悪用された場合、署名付きメッセージから秘密鍵を窃取できる可能性がある他、影響範囲はPuTTYだけでなく関連ツールや鍵ペアにも及ぶという。

[後藤大地，有限会社オングス]

　PuTTYチームは2024年4月15日（現地時間）、「Windows」向けSSHクライアントである「PuTTY」に重大な脆弱（ぜいじゃく）性「CVE-2024-31497」が存在すると伝えた。これを悪用された場合、署名付きメッセージから秘密鍵を窃取できる可能性がある。影響範囲はPuTTYだけでなく関連ツールや鍵ペアにも及ぶとされている。

PuTTYに秘密鍵を窃取できる重大な脆弱性　研究者がPoCを公開

　脆弱性が存在するバージョンは以下の通りだ。

• PuTTY 0.68から0.80までのバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• PuTTY 0.81

　セキュリティ研究者によると、この脆弱性はPuTTYの署名処理に存在している。米国国立標準技術研究所（NIST）が定めた楕円曲線「P-521」を使用する楕円曲線デジタル署名アルゴリズム「ECDSA」の実装においてPuTTYの使用するナンス値に偏りがあり、これが脆弱性の原因になっている。

　DSAのデジタル署名スキームにおいて使用されるナンス値は一定の範囲内に存在するランダム値でなければならない。この値に偏りがある場合には複数の署名から秘密鍵を算出できるため、ナンス値には安全なランダム値を使う必要がある。

　ただし、PuTTYは古い「Windows」など安全な乱数を生成できないOSに対応するために秘密鍵とメッセージを入力に含む決定論的方法によりナンス値を生成していた。「SHA-512」を使用して入力からハッシュ値を生成し、これを必要なビット数に丸め込んでいる。楕円曲線P-256やP-384の場合、SHA-512のビット数が上回るため演算結果にランダム性を期待できるが、P-521の場合は9ビット不足するためナンス値の上位9ビットが常に0になり、偏りが発生することになる。

　CVE-2024-31497についてはセキュリティ研究者が概念実証（PoC）を公開している。PoCが公開されたことでこの脆弱性を悪用したサイバー攻撃が発生する可能性がある。該当製品を使用している場合は迅速に問題が修正されたバージョンへのアップデートを適用することが求められる。