TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに

文:Tom Espiner(ZDNet UK) 翻訳校正:編集部 2009年11月06日 11時49分

 一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。

 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。

 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。

 TLS認証プロセスの脆弱性によって、部外者がユーザーの正規のブラウザセッションを乗っ取り、そのユーザーに上手くなりすますことが可能になる、と両氏は技術文書で述べた。

 Ray氏とDispensa氏によれば、脆弱性はTLSの「認証ギャップ」に存在するという。クライアントとサーバの間で一連の電子的な応答確認が交わされる暗号認証プロセスの実行中に、クライアントに対するサーバ認証の連続性にギャップが発生する。これにより、攻撃者はデータストリームを乗っ取るための入り口を確保することができる、と両氏は述べた。

 さらに、この脆弱性によって、HTTPSサーバに対する実際的な中間者攻撃も可能になる、と両氏は述べた。HTTPSは、ほとんどのオンライン決済で利用されている、HTTPとTLSを組み合わせたセキュアなプロトコルだ。

 この脆弱性はSSLにも影響を及ぼすため、これから長い間に渡って厄介な問題となるだろう、とセキュリティ研究家のChris Paget氏はブログ投稿に書いた。

 「SSLがセキュアであることを前提に機能している、多くのソフトウェアアップデートメカニズムはどうなるのだろうか」とPaget氏は書いた。「これはプロトコルレベルの突破口だ。この問題を修正するには、SSLとTLSが機能する仕組みを変える必要がある」(Paget氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

関連キーワード
セキュリティ

この記事を読んだ人におすすめの資料

ピックアップコンテンツPR

企画特集PR

事列解説

ソリューション

インタビュー

デジタル製品

ZDNet JapanスペシャルPR

企画特集一覧へ

カテゴリーランキング
  1. 特許庁の端末がトロイの木馬に感染--未公開情報の流出は確認されず - ZDNet Japan
  2. 恒例のセキュリティかるた大会は今年も白熱 遊びの場で啓発し続ける意味 - ZDNet Japan
  3. サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法 - ZDNet Japan
  4. AV-Test.orgが「Microsoft Security Essentials」の性能テストを実施 - ZDNet Japan
  5. 気づかないまま1年…こっそり仕掛けられるキーロガーの脅威にご注意 - ZDNet Japan
スペシャルPR
新着企業動向

企業動向一覧へ

ZDNet Japanは、情報システム部門の読者を対象に、ITを活用したビジネス課題の解決策を提供します。技術や製品の解説、ケーススタディ、ホワイトペーパーなどを通じて、情報システム部門の正しい意志決定を支援します。

ITビジネス全般については、CNET Japanをご覧ください。