![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
海外における個人情報流出事件とその対応「SSL/TLSを狙うBEAST攻撃の真実」(1)SSL/TLSセキュリティの危機
国際 海外情報
9月19日付けの「The Register」が、SSLで保護された実質的に全てのWebサイトに重大な脆弱性があり、Webサイトとエンドユーザの間で暗号化を行ってやりとりされるデータをハッカーが復号していると報じている。
記事のタイトルではSSLとあるが、この脆弱性はTransport Layer Security(トランスポート・レイヤー・セキュリティ:TLS)のバージョン1.0以前のものにあるというものだ。TLSはセキュリティを要求される通信のためのプロトコルで、Webサーバとブラウザ間の通信を暗号化する。Security Sockets Layer(SSL)に変わる新しいプロトコルとして登場した。TLSもSSLもインターネットにおける信頼の基礎となっている。
TLS1.0以前というと、現在一般的に使用される、ほとんどのブラウザが実装している。そのため、PayPalでのオンライン上での金銭のやり取りやGmailによるメールの内容までがハッカーにアクセスされる可能性があるとして、セキュリティ専門家の注目を集めている。
●SSL/TLSの脆弱性で懸念される通信保護の危機
この脆弱性に関しては、セキュリティ研究者のThai Duong氏とJuliano Rizzo氏が、ekoparty Security Conferenceで23日に発表した。ekoparty Security Conferenceはアルゼンチンのブエノスアイレスで9月21日から23日の間、開催された。
二人は実際に脆弱性の悪用が可能なことを示すためにデモをしてみせたという。そしてこの方法について、BEAST(Browser Exploit Against SSL/TLSの略)と名付けている。BEASTはJavaScriptによるハッキングツールだ。
コードはWeb上の広告サービスによる悪意ある広告や、リンクをハイジャックしたIFRAMEなどに関連するJavaScriptを、ユーザのブラウザにインジェクトする。そしてBEASTツールの別の部分、ネットワークスニファがアクティブなTLSコネクションを探す。最終的にターゲットのブラウザが送るプレーンテキストのセグメントを中間で取り込み、解析するというものだ。
Duong氏は「他の攻撃ではSSLプロパティの信頼性についての攻撃に焦点を置いているが、BEASTではプロトコルの極秘性について攻撃する」と、BEASTにより新たなセキュリティの懸念が生まれたと警告する。「私たちが知っている範囲で、これまでにHTTPSのリクエストを実際に復号する攻撃はこれまでにない」と述べた。この新しい攻撃ではHTTPSを復号し、セッションを乗っ取るという。
●評価が分かれるBEASTの脅威
BEASTの脅威についてのセキュリティ業界の反応だが、Adam Langley氏は「Hacker News」で「この攻撃について知っていた」と書いている。Google ChromeのSSL/TLSについて取り組んでいたためだ。そして、
※本記事は有料購読会員に全文を配信しました
(バンクーバー新報 西川桂子)
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
世界的なシェアを誇る CMS ソフトウェア である Drupal に、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
-
医療・教育・金融・保険・公共 ~ 産業別の個人情報漏えいリスク(The Register)
世界中で起こるデータ漏えいの4分の1以上が組織の「内部関係者」の椅子とキーボードの間(の人間)から生じたと知っても、組織の経営陣は驚かないだろう。もちろん、それはそのような内部関係者が怪しげなリンクをクリックしたということではない。
-
シリアの病院爆撃、遠隔医療支援時の英国人医師PCから情報窃取か(The Register)
戦争により疲弊するアレッポで、インターネット越しに手術を手引きしたイギリス人外科医が、仮設病院を狙うために自分のPCがハッキングされ、そして病院が爆撃されたのではないかと懸念している。
-
ロシアが世界に仕掛ける「ハイブリッド戦」の鍵となる自称民主主義とサイバー戦闘力
図1はロシアが展開しているハイブリッド戦争のおおまかな流れである。
-
Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性(Scan Tech Report)
Adobe Flash Player に含まれている SDK に、ポインタ制御の不備が報告されています。
-
投資家向けにセキュリティ対策状況を開示すべきか、悪用を恐れ開示しないべきか~英上場企業実態(The Register)
FTSE100(ロンドン証券取引所上場銘柄時価総額上位100)企業のうち、オンラインでのビジネス保護について実施する診断についての情報開示を行っているのはわずか5社である。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
添付のPDFファイルをWebブラウザから開かせる偽Appleメールを確認(フィッシング対策協議会)
Appleが「Safari」「iOS」などのセキュリティアップデートを公開(JVN)
3月のアクセス観測状況、不正侵入等の発信元IPアドレス数が増加(警察庁)
Drupal においてリクエストパラメータの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
「Drupal」の脆弱性を狙う攻撃が急増、注意を呼びかけ(サイバーセキュリティクラウド)
長期休暇における対策を紹介、偽セキュリティソフトなどの相談事例も(IPA)
インシデント・事故 記事一覧へ
保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)
教職員用Webメールシステムに不正ログイン、大量の迷惑メールを送信(東北工業大学)
自動車税に係る個人情報の紛失が発覚(新潟県)
10代職員がマイナンバー事務で得た情報悪用し懲戒(横浜市)
体力測定値他48人分の個人情報が記録されたUSBメモリ紛失(京都橘大学)
教育情報ネットワークへの不正アクセス、新たに22,613人分が流出の可能性(前橋市)
調査・レポート・白書 記事一覧へ
脆弱性の届出、影響別では「任意のコマンド実行」が1位--四半期レポート(IPA、JPCERT/CC)
公開Webサイトの問い合わせフォームへ大量投稿する攻撃が継続(IPA)
Drupalにおけるリモートコード実行の脆弱性を検証(NTTデータ先端技術)
脆弱性情報の製品別登録件数、1位はDebian GNU/Linux、2位はAndroid(IPA)
フィルタリングを否定的に捉えている青少年の利用率は35.5%(総務省)
脅威の発生前の対策を重視する日本、レスポンスへの投資は最下位(ServiceNow)
研修・セミナー・カンファレンス 記事一覧へ
「セキュリティ・キャンプ全国大会2018」の参加募集を開始(IPA)
サイバーインテリジェンス入門~マキナレコード軍司氏講演
初心者向けハッキングハンズオン研修が盛況
エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演
トップとビリで売上3倍差!セキュリティへの取り組みが命運を分けた Hardening 2017 Fes
過去10回の総括、そして未来を見据える「Hardening 2017 Fes」
製品・サービス・業界動向 記事一覧へ
制御指令を悪用したサイバー攻撃を検知する技術「InteRSePT」を製品化(三菱重工、NTT、NTTデータ、NTT Com)
中小企業のセキュリティ向上を包括支援、上限は年額7,000万円×3年(東京都、東京都中小企業団体中央会)
開発者と攻撃者の視点で学べる脆弱性のマイクロラーニングサービス(東陽テクニカ)
イスラエルのSecdo社を買収、防御の迅速化を実現する次世代EDRを統合(パロアルトネットワークス)
総合自動車保険に、不正アクセスや車両の欠陥の被害者救済費用特約を新設(三井ダイレクト損保)
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
![[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像](/imgs/std_m/22623.jpg)
![[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像](/imgs/std_m/22570.jpg)
![[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像](/imgs/std_m/21969.jpg)
