編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

SSH通信でデータ漏えいの可能性--32ビットの平文が取り出し可能に

吉澤亨史

2008-11-18 21:24

 有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)と独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は11月17日、SSH通信において一部のデータが漏えいする可能性があると発表した。

 SSH(Secure Shell)は、インターネット上に置かれているサーバにネットワークを介してログインしたり、コマンドを実行したりするためのプログラムおよび通信プロトコル。データが暗号化された状態で通信されることが特徴となっている。

 JPCERT/CCとIPA/ISECによると、SSHで使用される通信方式の一部に対する攻撃方法が報告されたという。この攻撃によって、SSHを実装する製品が影響を受ける可能性がある。報告された攻撃方法では、SSHがデフォルトで使用する通信方式において、ひとつの暗号化ブロックから32ビットの平文を取り出すことができるとのことだ。

 この攻撃がされると、SSHセッションが切れることがある。通信エラーが発生した際に、自動的に再接続する設定がされている場合、攻撃による被害の影響が大きくなる可能性がある。ただし、攻撃が成立する可能性は低いとしている。

 この問題の対策方法としては、CBC(Cipher Block Chaining)モードではなくCTR(CounTR)モードを使用することを推奨している。OpenSSH 3.7以降ではCTRモードがサポートされている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AI導入に立ちはだかる「データ」「複雑さ」「コスト」「人材」の壁をどう乗り切ればいいのか?

  2. クラウドコンピューティング

    【IDC調査】2026年には75%のアプリがAIを実装!導入で遅れた企業はどう“逆転”すべきか?

  3. 運用管理

    経産省調査で明らかに:未だにレガシーシステムを抱える企業が8割!オープン化でよくある課題とは?

  4. 運用管理

    AWS東京リージョンの大規模障害に学ぶ、パブリッククラウド上のシステムの迅速な復旧方法

  5. windows-server

    【ユースケース】ソフトウェア開発にDell EMCインフラ+コンテナを使うメリット

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]