FacebookやPayPalなど、特に人気が高い多くのウェブサイトやオンラインサービスが、1998年に発覚した脆弱性の影響を受けているという。
この脆弱性は約20年前にDaniel Bleichenbacher氏によって初めて発見された。今回あらためて表面化し、「ROBOT」と呼ばれている。
Hackmanitとルール大学ボーフムの研究者であるHanno Bock氏とJuraj Somorovsky氏、およびTripwire VERTのCraig Young氏によると、SSL(Secure Sockets Layer)サーバが生成するPKCS #1 v1.5のパディングエラーメッセージにより、「RSA暗号化と併用されるとTLSの機密性を完全に破る」適応的選択暗号文攻撃が可能になるという。
サーバの実装に関連するこの脆弱性を突けば、RSA暗号の解読や、トラフィックの暗号解読を目的とした鍵署名を実行できる。
少し変更を加えれば、現在インターネットで使用されている多くのHTTPSホストに対して、この脆弱性をまだ悪用できることを発見したとチームは述べている。
1998年に発覚したこの脆弱性は、タイムアウトや接続のリセット、重複するTLSアラートのようなエラーの種類を区別できる信号を追加することで改変されている。
ROBOTに対して脆弱なウェブサイトには不都合なことに、攻撃者が後で暗号を解読するためにトラフィックを記録できる。この攻撃で秘密鍵は回復されず、証明書の無効化は必要ないという。
「ふだんはforward secrecy(前方秘匿性)を利用しているが、脆弱なRSA暗号の鍵交換をまだサポートしているホストの場合、リスクは、攻撃者が攻撃を仕掛ける速さ次第だ。サーバの偽装や中間者攻撃は可能だが、もっと難しいと思う」と研究者らは述べている。
この脆弱性が19年前に初めて発見されたとき、TLSの開発者は対策を講じた。だが、こうした防衛策は実装が非常に複雑であり、そのために正しく実装されてこなかったようだ。
この脆弱性の復活について述べた研究論文は、「Cryptology ePrint Archive」で公開されている。
研究チームによると、Alexaのランキングの上位100位のうち27のドメインと、F5、Citrix、Ciscoなど少なくとも7社のベンダーに脆弱性があるという。
Facebookはその後、サーバにパッチを施したようだ。その他、利用できるパッチの情報なども公開されている。
研究チームは、HTTPSパブリックサーバ用のテストツールと、脆弱なホストをスキャンするための「Python」ツールをリリースしている。
提供:File Photo
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
