編集部からのお知らせ
新着! 記事まとめ集「銀行のITビジネス」
EDRの記事まとめダウンロードはこちら

「Firefox 37」の深刻な脆弱性を修正--HTTP/2 Alt-Svcを無効化

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2015-04-09 13:18

 Mozilla Foundationの「Firefox」にウェブの暗号化実装に絡む脆弱性が発見され、米国時間4月3日のアップデートで修正された。この脆弱性を悪用すれば、悪意のあるウェブサイトが証明書の認証処理を迂回(うかい)することが可能になっていた。

 Mozillaは3月31日に「Firefox 37.0」をリリースしていた。同バージョンではHTTP/2というインターネット標準がサポートされており、HTTPSがサポートされていない場合であっても、ウェブ接続時の暗号化通信が可能になっていた。その機能を実現するために、リダイレクションプロトコルを通じてページ間のエンドツーエンドの暗号化を強制するHTTP Alternative Services(Alt-Svcという名前でも知られている)という機能が実装されていた。

 Alt-SvcはPCやモバイル機器とやり取りすることで、ウェブページへの代替アクセス手段を提供する。その後、「日和見暗号」を用いた通信のための指示が送信され、ウェブサイトを訪問した際に用いる基本的な暗号化プロトコルが強制されるようになっている。Alt-SvcはHTTPSほどセキュアではないが、これによってインターネット上の通信チャネルで現在最も普及しているHTTPよりもセキュリティが向上するのは間違いない。

 Firefox 37.0は基本的なセキュリティ向上を目指すリリースであったものの、残念ながら重大なバグを作り込んでしまった。そして、ウェブサーバがHTTP/2システムを介して訪問者をリダイレクトする際に、そのバグを悪用すれば証明書の認証処理を迂回できてしまうことをある研究者が発見したのだ。

 Mozillaのセキュリティアドバイザリでは、同脆弱性が重要度の区分で「最高」と位置付けられている。(MozillaのAlternative Servicesの実装における)HTTP/2 Alt-Svcヘッダを介してこのバグを悪用すれば、SSLの証明書認証処理を迂回できるようになっていたのだ。

 その結果、SSL証明書が不正である旨の警告が表示されないようになるため、ハッカーは中間者(MITM)攻撃を使い、正規のウェブサイトを装って被害者を悪意のあるページへと誘い込み、データを盗んだり、マルウェアのペイロードを送信したりすることが可能となっていた。

 SophosのNaked Securityのチームによって報告されているように、このバグはすぐに発見、対処された。また同チームによると、HTTP/2はまだ最終段階に到達しておらず、広く利用されてもいないという。

 Mozillaは6週間ごとにFirefoxをアップデートしており、現在のところ日和見暗号は無効化されている。Firefoxは自動的に「Firefox 37.0.1」へとアップデートされ、同脆弱性を修正するが、手動でアップデート処理を実行することも可能だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「クラウド利用状況調査」から読み解く、コスト、リソース不足、セキュリティへの対応策

  2. 運用管理

    人員・スキル不足はもはや言い訳? システム運用を高度化する「AIOps」最前線

  3. セキュリティ

    脱「PPAP」に活用できる Microsoft 365 の機能をまとめて紹介

  4. 経営

    脱“ハンコ出社”の実現に向け、電子署名を全社展開したNEC

  5. 経営

    なぜ成長企業の経営者はバックオフィス効率化に取り組むのか?生産性を高めるための重要な仕組み

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]