![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2019021201.png){kind=logo}
海外における個人情報流出事件とその対応「SSL/TLSを狙うBEAST攻撃の真実」(1)SSL/TLSセキュリティの危機
●SSL/TLSセキュリティの危機 9月19日付けの「The Register」が、SSLで保護された実質的に全てのWebサイトに重大な脆弱性があり、Webサイトとエンドユーザの間で暗号化を行ってやりとりされるデータをハッカーが復号していると報じている。
国際
海外情報
9月19日付けの「The Register」が、SSLで保護された実質的に全てのWebサイトに重大な脆弱性があり、Webサイトとエンドユーザの間で暗号化を行ってやりとりされるデータをハッカーが復号していると報じている。
記事のタイトルではSSLとあるが、この脆弱性はTransport Layer Security(トランスポート・レイヤー・セキュリティ:TLS)のバージョン1.0以前のものにあるというものだ。TLSはセキュリティを要求される通信のためのプロトコルで、Webサーバとブラウザ間の通信を暗号化する。Security Sockets Layer(SSL)に変わる新しいプロトコルとして登場した。TLSもSSLもインターネットにおける信頼の基礎となっている。
TLS1.0以前というと、現在一般的に使用される、ほとんどのブラウザが実装している。そのため、PayPalでのオンライン上での金銭のやり取りやGmailによるメールの内容までがハッカーにアクセスされる可能性があるとして、セキュリティ専門家の注目を集めている。
●SSL/TLSの脆弱性で懸念される通信保護の危機
この脆弱性に関しては、セキュリティ研究者のThai Duong氏とJuliano Rizzo氏が、ekoparty Security Conferenceで23日に発表した。ekoparty Security Conferenceはアルゼンチンのブエノスアイレスで9月21日から23日の間、開催された。
二人は実際に脆弱性の悪用が可能なことを示すためにデモをしてみせたという。そしてこの方法について、BEAST(Browser Exploit Against SSL/TLSの略)と名付けている。BEASTはJavaScriptによるハッキングツールだ。
コードはWeb上の広告サービスによる悪意ある広告や、リンクをハイジャックしたIFRAMEなどに関連するJavaScriptを、ユーザのブラウザにインジェクトする。そしてBEASTツールの別の部分、ネットワークスニファがアクティブなTLSコネクションを探す。最終的にターゲットのブラウザが送るプレーンテキストのセグメントを中間で取り込み、解析するというものだ。
Duong氏は「他の攻撃ではSSLプロパティの信頼性についての攻撃に焦点を置いているが、BEASTではプロトコルの極秘性について攻撃する」と、BEASTにより新たなセキュリティの懸念が生まれたと警告する。「私たちが知っている範囲で、これまでにHTTPSのリクエストを実際に復号する攻撃はこれまでにない」と述べた。この新しい攻撃ではHTTPSを復号し、セッションを乗っ取るという。
●評価が分かれるBEASTの脅威
BEASTの脅威についてのセキュリティ業界の反応だが、Adam Langley氏は「Hacker News」で「この攻撃について知っていた」と書いている。Google ChromeのSSL/TLSについて取り組んでいたためだ。そして、
※本記事は有料購読会員に全文を配信しました
(バンクーバー新報 西川桂子)
Scan PREMIUM 会員限定記事
もっと見る-
国際大学へのフィッシング攻撃成功率は 100 %、教育支援機関調査結果(The Register)
驚くほど簡単に英国の大学の管理部門にフィッシング攻撃をしかけることができることを教育機関支援団体 JISC が明らかにした。JISC は、「 2 時間以内に」100 % の成功率で攻撃できると主張している。
-
Windows AppX Deployment Service においてファイルハンドルの取り扱い不備により任意のファイルのフルアクセス権が掌握可能となる脆弱性(Scan Tech Report)
Microsoft Windows において、任意のファイルのフルアクセス権を取得することが可能となる脆弱性が報告されています。
-
ここが変だよ日本のセキュリティ 第38回 「転生したら CSIRT だった件」
これまでのお話で分かると思うけど、CSIRT体制構築は成熟期に向かう過渡期にあり、評価や話題性でみると終焉に向かいつつある。低コストで維持しやすい組織を目指した方がいい。
-
ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」
既に、CSIRT体制構築ブームに乗って、日本シーサート協議会に登録、あわよくばIT系のニュースで事例紹介されたい、なんてCSIRTゴールは飽きられ始めている。新鮮味が薄くなったんだ。ITに疎い経営者も少なくなった。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
サイボウズ「Garoon」に20件の脆弱性(JVN)
BIND 9.xにファイル記述子の過度な消費等複数の脆弱性(JPRS、JPCERT/CC)
Windows AppX Deployment Service においてファイルハンドルの取り扱い不備により任意のファイルのフルアクセス権が掌握可能となる脆弱性(Scan Tech Report)
相談件数が前四半期から約25%減少、偽警告のみ増加(IPA)
Verizon製ルータの脆弱性発見(Tenable Network Security Japan)
Broadcom製Wi-Fiチップセット用ドライバに複数の脆弱性(JVN)
インシデント・事故 記事一覧へ
誤送信で「劇場版おっさんずラブ」エキストラ応募者のアドレスが流出(テレビ朝日)
夫婦間トラブルにより緊急一時保護中の母と子、保護施設名称が夫に通知される(大阪市)
奨学金関係書類誤廃棄、適正な事務処理行われず(大阪市)
システム不具合による個人情報漏えい最終報告発表、新たにカード情報上書き事象判明(ジェイ・スポーツ)
鋳造シミュレーションシステム「ADSTEFAN」のお客さま専用サイトに不正アクセス、383社分の情報が流出(日立産業制御ソリューションズ)
委託業者が連絡先を記載誤り、多数の間違い電話で判明(大阪市)
調査・レポート・白書 記事一覧へ
代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス)
脆弱性届出「その他実装上の不備」が1位に--四半期レポート(IPA)
2019年1QのJVN登録状況:脆弱性「XSS」、製品「Debian GNU/Linux」最多(IPA)
いずれの学年もネットでのコミュニケーションに関する心配事が7割以上に(NTTドコモ モバイル社会研究所)
食品、物流、NPO:2018年のサイバー攻撃標的(Cylance Japan)
サプライチェーンの責任範囲、「専門知識・スキル不足」で明確にできず(IPA)
研修・セミナー・カンファレンス 記事一覧へ
教育機関に対するサイバー攻撃の傾向を事例を交えて紹介(FireEye)
脆弱性診断の8割を標準化する:脆弱性診断, インシデントレスポンス, 脅威インテリジェンス…セキュリティプロセス標準化を考える
初の大阪開催~脅威実態とインシデント分析、DeNAのEDR導入事例まで(CrowdStrike)
x86 アーキテクチャの不可解な「仕様」
車検証の電子化に向けてセキュリティ面を含めた技術的要件を検討(国土交通省)
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
![[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ 画像](/imgs/std_m/26608.jpg)
