クラウドサービスに特化したセキュリティ企業であるSkyhigh Networksによると、膨大な数のクラウドサービスが新たな脆弱性「Logjam」に対して無防備な状態にあり、結果として相当数の顧客企業が危険な状態に置かれているという。
複数の研究機関と大学の研究者で構成された合同チームが米国時間5月19日に公表したPDFの報告書により、「ディフィーヘルマン鍵共有法(DH法)」を使用する膨大な数のHTTPSウェブサーバやメールサーバが、Logjamを悪用した攻撃に対して脆弱な状態にあることが判明した。同チームの試算によると、HTTPSドメイン上位100万件のうち8.4%が脆弱性の影響を受けるという。
報告書によると、攻撃者は暗号化アルゴリズムに発見された脆弱性を悪用して中間者攻撃(MITM攻撃)を仕掛け、TLS接続を輸出グレードのDH法にダウングレードさせることで、HTTPS接続の通信内容を解読して傍受できるようになるという。合同チームの調査では、512ビット素数を使用する輸出グレードのDH法をサポートするサーバの80%程度は暗号化手法のダウングレードが可能であることが確認された。また、本格的な研究機関や政府機関であれば、768ビット素数や1024ビット素数も解読できる可能性があるという。その場合、HTTPSドメイン上位100万件のうち18%が攻撃に対して脆弱な状態となり、VPNサーバの66%と、SSHサーバの26%も攻撃の標的となる可能性がある。
Skyhigh Networksの研究チームであるSkyhigh Service Intelligence Teamが数千件のクラウドサービスをスキャンしたところ、脆弱性に関する情報が一般公開された6時間後も、575件のサービスは脆弱である可能性がある状態だった。
Skyhigh Networksによると、平均的な企業は相当数の異なるクラウドサービスを併用しているため、そこに脆弱性が未修正のサービスが数件含まれている可能性は高いという。たとえば、Skyhigh Networksのサービスを利用する企業約400社超のうち99%は、脆弱である可能性のあるクラウドサービスを少なくとも1件利用しており、全体平均では1社あたり71件の脆弱なクラウドサービスを利用しているという。Skyhigh Networksは、脆弱性が確認されたクラウドサービスのプロバイダと、脆弱性が存在する可能性のあるサービスを利用している自社顧客に連絡を取り注意を呼びかけている。
Skyhigh NetworksのEMEA担当マーケティングディレクターであるNigel Hawthorn氏によると、クラウドサービスのプロバイダが脆弱性に対する防御を強化するためには、輸出仕様の暗号化スイートのサポートを無効化するとともに、楕円曲線DH鍵共有を導入して独自の強力なDHグループを生成する必要があるという。一方、クラウドサービスの顧客企業は、脆弱性が修正された最新版のブラウザだけを使用するよう従業員に周知徹底するとともに、社内で使用するすべてのOpenSSLとVPNサーバを最新版にアップデートする必要がある。
なお、CDNサービスのKeyCDNは、サーバの脆弱性をチェックするためのツールを公開している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。