研究者が新たなTLS／SSLの脆弱性攻撃ツール発表へ、HTTPSセッションを乗っ取り可能

[鈴木聖子，ITmedia]

　アルゼンチンで9月19日から開かれるセキュリティカンファレンス「ekoparty」で、2人のセキュリティ研究者がTLS／SSLを攻撃する新ツール「CRIME」の発表を予定している。米セキュリティ機関のSANS Internet Storm Centerがブログで伝えた。

　SANSの13日のブログによると、同ツールは圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまう。この攻撃は、WebサイトとWebブラウザの両方がSPDYをサポートしている場合にのみ通用するようだとしている。

　SPDYをサポートしているのは、主要ブラウザではMozillaのFirefoxとGoogle Chrome、WebサイトではGoogle、Gmail、Twitterなど。一方、Internet Explorer（IE）とAppleのSafariはSPDYをサポートしていないため、この問題の影響を受けないとされる。

　Ekopartyで発表を予定しているのは、2011年のekopartyでやはりTLS/SSL攻撃ツールの「BEAST」を発表した2人の研究者。今年のEkopartyのWebサイトに掲載された発表内容の概略で、CRIMEについて「私たちがコーヒーショップであなたの隣に座って、あなたの電子メールや銀行口座、ソーシャルネットワーキングなどにアクセスできてしまうかもしれない」と解説している。

　SANSの研究者は、この脆弱性が解決されるまでは、HTTPSを使ったWebサイトでSPDYプロトコルを無効にすることが推奨されるとアドバイスしている。