米輸出規制に起因するTLS/SSLの脆弱性「FREAK」が発覚

1990年代の米暗号輸出規制に起因する脆弱性が残ったまま現在に至っていたことが判明した。AndroidブラウザやSafariに影響するとみられている。

[鈴木聖子，ITmedia]

　インターネットの通信の暗号化に使われているTLS/SSLプロトコルに、1990年代の米国の暗号輸出規制に起因する脆弱性が存在することが分かった。AppleのSafariや、Androidブラウザに使われているOpenSSLなどが影響を受けるとされ、各社が修正パッチの開発を急いでいる。

古い規制に起因する「FREAK」問題が発覚した

　脆弱性はフランス国立情報学自動制御研究所（INRIA）や米Microsoftなどの研究チームが発見した。「Factoring attack on RSA-EXPORT Keys」を略して「FREAK」と呼ばれている。

　研究チームや攻撃の実証にかかわった研究者によると、当時の米NetscapeがSSLを発明した1990年代、米政府は暗号システムに対して厳格な輸出規制をかけており、米国企業が暗号を輸出するためには、暗号鍵の強度を意図的に弱めることが義務付けられていた。RSAの場合、鍵の長さは512ビットが限度だった。

　これは米国家安全保障局（NSA）が外国の通信を傍受できるようにするための措置で、当時の商用利用では必要な安全性を保てると想定していたという。

　しかし米国がこの輸出規制を解除した後も、OpenSSLなど多くの実装で弱いアルゴリズムがサポートされたまま現在に至っていたことが、今回の研究で判明した。

　大抵はデフォルトで無効になっているものの、AndroidブラウザのOpenSSLクライアントやSafariなどのApple TLS/SSLクライアントなど幾つかの実装では、サーバが非輸出グレードの暗号を使おうとした場合でも、中間者攻撃を仕掛けて輸出グレードのRSAを要求し、512ビットのRSA鍵を返させることができてしまうという。クライアントがこの鍵を受け入れると、攻撃者が暗号を解除することが可能になる。

　この脆弱性はNSAやFBIを含む米政府機関のWebサイトや、Facebook、IBM、Symantecといった大手サイトにも存在し、攻撃が通用することを確認したと研究チームは報告している。

　米紙Washington Postによると、Appleは3月9日の週にもこの脆弱性の修正パッチを公開する見通し。Googleはコメントを避けているという。