SCAN DISPATCH :MD5の偽造ルート証明書のゼロデイ攻撃デモに、200台のPS3が活躍 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.21(木)

SCAN DISPATCH :MD5の偽造ルート証明書のゼロデイ攻撃デモに、200台のPS3が活躍

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 セキュリティ証明書を発行するCertification Authorities(CAs)が使用する公開鍵暗号基盤(PKI)のMD5アルゴリズムには、「MD5コリジョン」という脆弱性が内在することが長年指摘されてきた。

 2008年末ベルリンで開催された歴史あるセキュリティ国際会議、第25回カオス・コミュニケーション・コングレス(25th Chaos Communication Congress: 25C3)において、米、オランダ、スイスの研究者チームが、このMD5コリジョンを利用した偽造ルート証明書発行のデモンストレーションを実施した。このデモより、Webブラウザの「鍵マーク」によって、安全なhttpsコネクションで接続していると証明されていたとしても、偽の証明書を利用した乗っ取り攻撃が可能であることが実証された。

デモ
https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/

 それだけでなく、ダン・カミンスキーが発見したDNSスプーフィング攻撃と今回の攻撃を合わせると、man-in-the-middle 攻撃がユーザに全く気づかれることなく行えることになる。

 MD5コリジョンの脆弱性は、1993年に既に一部が発見されており、1996年にその圧縮機能のコリジョンが発見されている。そして、2004年に最初のMD5コリジョン攻撃、2007年には「Chosen-Prefix コリジョン」攻撃が発表された。

 そのためルート証明書は、安全性が疑問視されるMD5を使用したものから、SHA-1、RIPEMD-160、WHIRLPOOL等のハッシュ関数を使用したものへの移行が勧告されてきた。しかし今回の論文に、「これだけ多くのMD5の証明書が出回っていることには非常に驚いた」とあるように、いまだにMD5が使用されていることは確かだ。

 今回、研究者チームが集めた約10万の証明書の中、以下の6つのCAが、MD5を使っていることが分かっている。

・RapidSSL
・FreeSSL
・TC TrustCenter AG
・RSA Data Security
・Thawte
・verisign.co.jp

 10万の証明書のうち3万がCAによってサインされ、Firefoxが信頼して受理する証明書である。3万のうち約9,000がMD5を使っており、そしてこの9,000のMD5の証明書の97%はRapidSSLが発行していることが分かっている。

 システム時計を2004年の8月以前にセットして、デモのURLに接続すると、偽造証明書のデモが手に入る。その他、デモは「.cer」「.pem」などのフォーマットでも発表されている。

 チームは、今回の攻撃が悪用されることを避けるために「collision finding implementation や improved methods の仔細の発表は現時点では行わず、上記CAには既に報告」を行ったそうだ。しかし、技術と能力があれば「Amazon EC2 を1日使って、2,000ドルも資金があれば攻撃が可能」だという。

 ところで今回の研究に活躍したのが、スイスのロザン市にあるスイス連邦工科大学ローザンヌ校(EPFL)の Arjen Lenstra 教授が構築した、「PlayStasion Lab」である。これは、そびえ立つラックに収められた200台のPS3と、30GBのメモリで作られたコンピュータクラスターで、コリジョン(衝突)を発生させる計算を2日で行ったという。PlayStasion Lab は、8,000台分のデスクトップパソコンのCPU、あるいは使用料金2万ドル分の Amazon EC2 の計算力と匹敵するという。

PlayStasion 3 Lab
http://www.win.tue.nl/~bdeweger/PS3Lab/

 ちなみに、SHA-1 には既に脆弱性が発見されており…

【執筆:米国 笠原利香】

【関連用語】
MD5(Message Digest 5)とは
https://www.netsecurity.ne.jp/dictionary/md5.html
Man in the Middle攻撃(Man in the middle attack)とは
https://www.netsecurity.ne.jp/dictionary/maninthemi.html

【関連リンク】
発表論文「MD5 considered harmful today」
http://www.win.tue.nl/hashclash/rogue-ca/
マイクロソフト セキュリティ アドバイザリ (961509): 研究機関によるMD5に
対する衝突攻撃(collision attack)の実現可能性の実証に関して
http://www.microsoft.com/japan/technet/security/advisory/961509.mspx

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×