海外における個人情報流出事件とその対応「SSL/TLSを狙うBEAST攻撃の真実」(1)SSL/TLSセキュリティの危機 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.18(水)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

海外における個人情報流出事件とその対応「SSL/TLSを狙うBEAST攻撃の真実」(1)SSL/TLSセキュリティの危機

●SSL/TLSセキュリティの危機 9月19日付けの「The Register」が、SSLで保護された実質的に全てのWebサイトに重大な脆弱性があり、Webサイトとエンドユーザの間で暗号化を行ってやりとりされるデータをハッカーが復号していると報じている。

国際 海外情報
●SSL/TLSセキュリティの危機
9月19日付けの「The Register」が、SSLで保護された実質的に全てのWebサイトに重大な脆弱性があり、Webサイトとエンドユーザの間で暗号化を行ってやりとりされるデータをハッカーが復号していると報じている。

記事のタイトルではSSLとあるが、この脆弱性はTransport Layer Security(トランスポート・レイヤー・セキュリティ:TLS)のバージョン1.0以前のものにあるというものだ。TLSはセキュリティを要求される通信のためのプロトコルで、Webサーバとブラウザ間の通信を暗号化する。Security Sockets Layer(SSL)に変わる新しいプロトコルとして登場した。TLSもSSLもインターネットにおける信頼の基礎となっている。

TLS1.0以前というと、現在一般的に使用される、ほとんどのブラウザが実装している。そのため、PayPalでのオンライン上での金銭のやり取りやGmailによるメールの内容までがハッカーにアクセスされる可能性があるとして、セキュリティ専門家の注目を集めている。

●SSL/TLSの脆弱性で懸念される通信保護の危機
この脆弱性に関しては、セキュリティ研究者のThai Duong氏とJuliano Rizzo氏が、ekoparty Security Conferenceで23日に発表した。ekoparty Security Conferenceはアルゼンチンのブエノスアイレスで9月21日から23日の間、開催された。

二人は実際に脆弱性の悪用が可能なことを示すためにデモをしてみせたという。そしてこの方法について、BEAST(Browser Exploit Against SSL/TLSの略)と名付けている。BEASTはJavaScriptによるハッキングツールだ。

コードはWeb上の広告サービスによる悪意ある広告や、リンクをハイジャックしたIFRAMEなどに関連するJavaScriptを、ユーザのブラウザにインジェクトする。そしてBEASTツールの別の部分、ネットワークスニファがアクティブなTLSコネクションを探す。最終的にターゲットのブラウザが送るプレーンテキストのセグメントを中間で取り込み、解析するというものだ。

Duong氏は「他の攻撃ではSSLプロパティの信頼性についての攻撃に焦点を置いているが、BEASTではプロトコルの極秘性について攻撃する」と、BEASTにより新たなセキュリティの懸念が生まれたと警告する。「私たちが知っている範囲で、これまでにHTTPSのリクエストを実際に復号する攻撃はこれまでにない」と述べた。この新しい攻撃ではHTTPSを復号し、セッションを乗っ取るという。

●評価が分かれるBEASTの脅威
BEASTの脅威についてのセキュリティ業界の反応だが、Adam Langley氏は「Hacker News」で「この攻撃について知っていた」と書いている。Google ChromeのSSL/TLSについて取り組んでいたためだ。そして、

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報 西川桂子)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

リコー製プリンタや複合機に任意コード実行などの脆弱性(JVN) 画像

リコー製プリンタや複合機に任意コード実行などの脆弱性(JVN)
「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN) 画像

「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN)
LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN) 画像

LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN)
Webmin においてパスワード変更機能に仕込まれたバックドアコードにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

Webmin においてパスワード変更機能に仕込まれたバックドアコードにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
「Adobe Flash Player」のセキュリティアップデートを公開(JPCERT/CC、IPA) 画像

「Adobe Flash Player」のセキュリティアップデートを公開(JPCERT/CC、IPA)
マイクロソフトが月例セキュリティ情報を公開、15製品を更新(IPA、JPCERT/CC) 画像

マイクロソフトが月例セキュリティ情報を公開、15製品を更新(IPA、JPCERT/CC)

インシデント・事故 記事一覧へ

「Naturas Psychos Product」が偽の決済画面へ誘導される改ざん被害、カード情報が流出(ハーバルインデックス) 画像

「Naturas Psychos Product」が偽の決済画面へ誘導される改ざん被害、カード情報が流出(ハーバルインデックス)
「JTAS Store」に不正アクセス、最大228件のカード情報が流出(日本関税協会) 画像

「JTAS Store」に不正アクセス、最大228件のカード情報が流出(日本関税協会)
7,114件の本人確認記録書を誤廃棄・紛失(みちのく銀行) 画像

7,114件の本人確認記録書を誤廃棄・紛失(みちのく銀行)
取引先情報が登録された社用携帯電話を紛失(サクラファインテックジャパン) 画像

取引先情報が登録された社用携帯電話を紛失(サクラファインテックジャパン)
住宅新築資金等貸付金の償還事務の関係書類を移動中に紛失(神戸市) 画像

住宅新築資金等貸付金の償還事務の関係書類を移動中に紛失(神戸市)
個人情報記載書類を委託事業者が紛失、今後は書類ではなく暗号化したデータでの報告に切り替え(大阪市) 画像

個人情報記載書類を委託事業者が紛失、今後は書類ではなく暗号化したデータでの報告に切り替え(大阪市)

調査・レポート・白書 記事一覧へ

国内の主要な個人情報漏えい事故を収録「日本情報漏えい年鑑2019」(イード) 画像

国内の主要な個人情報漏えい事故を収録「日本情報漏えい年鑑2019」(イード)
標的型攻撃手法でのランサムウェア感染被害が法人で増加(トレンドマイクロ) 画像

標的型攻撃手法でのランサムウェア感染被害が法人で増加(トレンドマイクロ)
ランサムウェアが前年同期比46%増加、「WannaCry」1位--四半期レポート(カスペルスキー) 画像

ランサムウェアが前年同期比46%増加、「WannaCry」1位--四半期レポート(カスペルスキー)
DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ) 画像

DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)
盗んだデータの不足をフィッシングで補完、不正口座の開設も(アカマイ) 画像

盗んだデータの不足をフィッシングで補完、不正口座の開設も(アカマイ)
青少年のフィルタリング利用促進のための課題と対策を取りまとめ公表(総務省) 画像

青少年のフィルタリング利用促進のための課題と対策を取りまとめ公表(総務省)

研修・セミナー・カンファレンス 記事一覧へ

13回目となる「Trend Micro DIRECTION」を11月15日に東京で開催(トレンドマイクロ) 画像

13回目となる「Trend Micro DIRECTION」を11月15日に東京で開催(トレンドマイクロ)
EDR製品 CrowdStrike Falcon を「じっくり」紹介するデモセッション開催(CrowdStrike) 画像

EDR製品 CrowdStrike Falcon を「じっくり」紹介するデモセッション開催(CrowdStrike)
「CODE BLUE」全25セッションの講演者が決定(CODE BLUE実行委員会) 画像

「CODE BLUE」全25セッションの講演者が決定(CODE BLUE実行委員会)
高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法 画像

高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法
ハッキングトーナメント開催、優勝者には「SECCON CTF(国内)」出場権(NRIセキュア) 画像

ハッキングトーナメント開催、優勝者には「SECCON CTF(国内)」出場権(NRIセキュア)
中国テンセント社 セキュリティ研究所、iPhone の顔認証 Face ID をハッキング 画像

中国テンセント社 セキュリティ研究所、iPhone の顔認証 Face ID をハッキング

製品・サービス・業界動向 記事一覧へ

タクシー利用者の顔画像撮影に「告知が不十分」と指導(個人情報保護委員会) 画像

タクシー利用者の顔画像撮影に「告知が不十分」と指導(個人情報保護委員会)
オンライン詐欺を即時検知、EC加盟店向けサービス(マクニカネットワークス) 画像

オンライン詐欺を即時検知、EC加盟店向けサービス(マクニカネットワークス)
ハイブリッド・マルチクラウドでデータを保護、IBMの新メインフレーム(日本IBM) 画像

ハイブリッド・マルチクラウドでデータを保護、IBMの新メインフレーム(日本IBM)
OTネットワークを可視化しセキュリティリスクを監視(NRIセキュア) 画像

OTネットワークを可視化しセキュリティリスクを監視(NRIセキュア)
Cortex XDRを利用したMDRサービスを提供開始(パロアルトネットワークス、インフォセック) 画像

Cortex XDRを利用したMDRサービスを提供開始(パロアルトネットワークス、インフォセック)
制御システム向け「CyberX Platform」販売開始、日本独自プロトコルにも対応(東芝デジタルソリューションズ) 画像

制御システム向け「CyberX Platform」販売開始、日本独自プロトコルにも対応(東芝デジタルソリューションズ)

おしらせ 記事一覧へ

編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×