TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに

文:Tom Espiner(ZDNet UK) 翻訳校正:編集部

2009-11-06 11:49

 一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。

 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。

 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。

 TLS認証プロセスの脆弱性によって、部外者がユーザーの正規のブラウザセッションを乗っ取り、そのユーザーに上手くなりすますことが可能になる、と両氏は技術文書で述べた。

 Ray氏とDispensa氏によれば、脆弱性はTLSの「認証ギャップ」に存在するという。クライアントとサーバの間で一連の電子的な応答確認が交わされる暗号認証プロセスの実行中に、クライアントに対するサーバ認証の連続性にギャップが発生する。これにより、攻撃者はデータストリームを乗っ取るための入り口を確保することができる、と両氏は述べた。

 さらに、この脆弱性によって、HTTPSサーバに対する実際的な中間者攻撃も可能になる、と両氏は述べた。HTTPSは、ほとんどのオンライン決済で利用されている、HTTPとTLSを組み合わせたセキュアなプロトコルだ。

 この脆弱性はSSLにも影響を及ぼすため、これから長い間に渡って厄介な問題となるだろう、とセキュリティ研究家のChris Paget氏はブログ投稿に書いた。

 「SSLがセキュアであることを前提に機能している、多くのソフトウェアアップデートメカニズムはどうなるのだろうか」とPaget氏は書いた。「これはプロトコルレベルの突破口だ。この問題を修正するには、SSLとTLSが機能する仕組みを変える必要がある」(Paget氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]