研究者が新たなTLS/SSLの脆弱性攻撃ツール発表へ、HTTPSセッションを乗っ取り可能
新攻撃ツールの「CRIME」は、圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまうという。
アルゼンチンで9月19日から開かれるセキュリティカンファレンス「ekoparty」で、2人のセキュリティ研究者がTLS/SSLを攻撃する新ツール「CRIME」の発表を予定している。米セキュリティ機関のSANS Internet Storm Centerがブログで伝えた。
SANSの13日のブログによると、同ツールは圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまう。この攻撃は、WebサイトとWebブラウザの両方がSPDYをサポートしている場合にのみ通用するようだとしている。
SPDYをサポートしているのは、主要ブラウザではMozillaのFirefoxとGoogle Chrome、WebサイトではGoogle、Gmail、Twitterなど。一方、Internet Explorer(IE)とAppleのSafariはSPDYをサポートしていないため、この問題の影響を受けないとされる。
Ekopartyで発表を予定しているのは、2011年のekopartyでやはりTLS/SSL攻撃ツールの「BEAST」を発表した2人の研究者。今年のEkopartyのWebサイトに掲載された発表内容の概略で、CRIMEについて「私たちがコーヒーショップであなたの隣に座って、あなたの電子メールや銀行口座、ソーシャルネットワーキングなどにアクセスできてしまうかもしれない」と解説している。
SANSの研究者は、この脆弱性が解決されるまでは、HTTPSを使ったWebサイトでSPDYプロトコルを無効にすることが推奨されるとアドバイスしている。
関連記事
- SSL/TLSの脆弱性突く攻撃方法が発覚、MSやMozillaが対応表明
- 通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
- iPhoneのSSL通信が傍受される恐れ、アップデートの早期適用を
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.