SCAN DISPATCH :SSL中間者攻撃回避に推奨されているEV SSLにも中間者攻撃が可能に | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.18(土)

SCAN DISPATCH :SSL中間者攻撃回避に推奨されているEV SSLにも中間者攻撃が可能に

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 既に中間者攻撃などの脆弱性が発見されているSSL。そのため、中間者攻撃を回避するために推薦されているのが、EV SSL(Extended Validation SSL)だ。

中間者攻撃(Man in the middle attack)とは
https://www.netsecurity.ne.jp/dictionary/maninthemi.html

 証明書を発行する日本ベリサイン社は、そのWebページで「近年、様々な認証レベルのSSLサーバ証明書が利用されていますが、中には高度化しつつあるフィッシング詐欺対策に不十分と言えるものもあります。そのような状況を解決するために、米国CA/ブラウザフォーラム(CABF)によって策定された、全世界標準の認証ガイドラインに基づいて発行するSSL証明書がEV SSL証明書です。EV SSLでは、Webサイトを運営する組織の実在性を確認する方法を厳密に規定しており、より確実な方法によって検証された企業に対して証明書が発行されます。」と説明している。

 さて、このEV SSLにも、さらなる中間者攻撃が可能であると発表したのがMike Zusman氏と Alex Sotirov氏。Mike Zusman氏にメールインタビューがとれたので紹介したい。

 SSLの脆弱性の一つは、今年の2月に行われたBlack Hat DC 2009にて、Moxie Marlinspike氏が発表したSSLへの中間者攻撃。彼がリリースしたSSLStripというエクスプロイトを使用すると、実際にはそうでなくても、ユーザにSSLで暗号化されたWebページを訪れていると思わせることができる。この攻撃はバグやプロトコルに内在する脆弱性を悪用したものではなく、むしろインプリメンテーション・バグであるため、修正が非常に難しい。SSLStripは、昨年12月の25th Chaos Communication Congressで発表された、MD5エンクリプションの脆弱性に追い討ちをかけるものだった。MD5エンクリプションの脆弱性は、アメリカとヨーロッパの研究者たちが、200台のプレイステーション3のクラスタを使用して発見したことでもニュースになったため、覚えている人も多いだろう。

 その代替として推奨されているEV SSLは、Webサイトとその所有者の法的実在性と同一性を確認してから発行される。「そのため、EV SSLは普通のSSLに比べて非常に高価なものになっている」(Mike Zusman氏)。最新のブラウザ(IE7以上、Firefox3以上)でEV SSLの規格をクリアしたWebサイトに訪れると、ブラウザのアドレスバーが緑色に変わり、アドレスバーの横には、SSLサーバ証明書に記載されている組織名、およびその証明書を発行した認証局名が表示される。Netcraft社の調査では、全世界で約11,000のWebサイトが現在EV SSLを使用しており、世界のトップ1,000のWebサイトでは、その4分の1がEV SSLを使用しているそうだ。

Extended Validation SSL Certificates 2 Years Old - Netcraft
http://news.netcraft.com/archives/2009/02/27/extended_validation_ssl_certificates_2_years_old.html

 両氏は今年3月にCanSecWestにて、EV SSLの中間者攻撃の「可能性」を発表していたが、7月28日からラスベガスで開かれるBlackHat USAでは、さらに、エクスプロイトを発表する予定でいる。その攻撃方法はこうだ…

【執筆:米国 笠原利香】

【関連記事】
・SCAN DISPATCH :MD5の偽造ルート証明書のゼロデイ攻撃デモに、200台のPS3が活躍
https://www.netsecurity.ne.jp/2_12679.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  2. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  6. SMSによる二要素認証が招くSOS(The Register)

  7. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×