![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2018100901.png){kind=logo}
海外における個人情報流出事件とその対応「SSL/TLSを狙うBEAST攻撃の真実」(1)SSL/TLSセキュリティの危機
●SSL/TLSセキュリティの危機 9月19日付けの「The Register」が、SSLで保護された実質的に全てのWebサイトに重大な脆弱性があり、Webサイトとエンドユーザの間で暗号化を行ってやりとりされるデータをハッカーが復号していると報じている。
国際
海外情報
9月19日付けの「The Register」が、SSLで保護された実質的に全てのWebサイトに重大な脆弱性があり、Webサイトとエンドユーザの間で暗号化を行ってやりとりされるデータをハッカーが復号していると報じている。
記事のタイトルではSSLとあるが、この脆弱性はTransport Layer Security(トランスポート・レイヤー・セキュリティ:TLS)のバージョン1.0以前のものにあるというものだ。TLSはセキュリティを要求される通信のためのプロトコルで、Webサーバとブラウザ間の通信を暗号化する。Security Sockets Layer(SSL)に変わる新しいプロトコルとして登場した。TLSもSSLもインターネットにおける信頼の基礎となっている。
TLS1.0以前というと、現在一般的に使用される、ほとんどのブラウザが実装している。そのため、PayPalでのオンライン上での金銭のやり取りやGmailによるメールの内容までがハッカーにアクセスされる可能性があるとして、セキュリティ専門家の注目を集めている。
●SSL/TLSの脆弱性で懸念される通信保護の危機
この脆弱性に関しては、セキュリティ研究者のThai Duong氏とJuliano Rizzo氏が、ekoparty Security Conferenceで23日に発表した。ekoparty Security Conferenceはアルゼンチンのブエノスアイレスで9月21日から23日の間、開催された。
二人は実際に脆弱性の悪用が可能なことを示すためにデモをしてみせたという。そしてこの方法について、BEAST(Browser Exploit Against SSL/TLSの略)と名付けている。BEASTはJavaScriptによるハッキングツールだ。
コードはWeb上の広告サービスによる悪意ある広告や、リンクをハイジャックしたIFRAMEなどに関連するJavaScriptを、ユーザのブラウザにインジェクトする。そしてBEASTツールの別の部分、ネットワークスニファがアクティブなTLSコネクションを探す。最終的にターゲットのブラウザが送るプレーンテキストのセグメントを中間で取り込み、解析するというものだ。
Duong氏は「他の攻撃ではSSLプロパティの信頼性についての攻撃に焦点を置いているが、BEASTではプロトコルの極秘性について攻撃する」と、BEASTにより新たなセキュリティの懸念が生まれたと警告する。「私たちが知っている範囲で、これまでにHTTPSのリクエストを実際に復号する攻撃はこれまでにない」と述べた。この新しい攻撃ではHTTPSを復号し、セッションを乗っ取るという。
●評価が分かれるBEASTの脅威
BEASTの脅威についてのセキュリティ業界の反応だが、Adam Langley氏は「Hacker News」で「この攻撃について知っていた」と書いている。Google ChromeのSSL/TLSについて取り組んでいたためだ。そして、
※本記事は有料購読会員に全文を配信しました
(バンクーバー新報 西川桂子)
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンスセキュリティ技術者が取締役会で報告を求められたら ~ ガートナーが教えるプレゼン術4つのポイント
ガートナーのリサーチャー ロブ・マクミラン氏によれば、2020年までにすべての大企業が、CIO、CISOに対して最低年1回の取締役会での報告を求めるようになるという。セキュリティ担当者はどんな報告をすればいいのだろうか。
-
libssh において認証を回避して遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
SSH ライブラリソフトウェアである libssh に、認証機能の実装の不備に起因する、遠隔コード実行の脆弱性が報告されています。
-
諜報機関 MI6、DHS、CIA、NSA 元長官が考えるサイバー戦争国際ルール(The Register)
2016 年アメリカ大統領選におけるロシアの介入が民主主義にもたらした影響はニューヨークのテロ攻撃に匹敵するものであるかもしれない、と示唆した。
-
電子投票マシンの脆弱性、中間選挙で使用された実機検証で発見された不審な痕跡とは
近年、選挙でも問題になるのがサイバー攻撃だ。投票結果の改ざん、議員スキャンダルを狙ったもの、関連した諜報活動や選挙妨害。これらはいまやサイバー攻撃でも行われる。米大統領の中間選挙が迫るなか、あらためて投票とサイバー攻撃について考えたい。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
複数のサイボウズ製品に、サーバ上のファイルを削除される脆弱性(JVN)
スキャンツール利用ボットの攻撃が拡大、Struts2も依然標的に(サイバーセキュリティクラウド)
アドビが複数の製品をアップデート、適用を呼びかけ(JPCERT/CC、IPA)
月例セキュリティ情報を公開、至急の適用を(IPA、JPCERT/CC)
libssh において認証を回避して遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
「Apple IDアカウントを回復してください」ニセメールを確認(フィッシング対策協議会)
インシデント・事故 記事一覧へ
ウェディングのペーパーアイテム販売「ココサブ」へ不正アクセス、メールアドレス27,916件流出可能性(麻田)
健康管理手帳等の紛失が4件発生(中部労災病院)
イベント参加者約1,900名の個人情報が記録されたPC、無事に発見回収(朝日新聞社)
複製「Windows7」などをプロダクトキーとセットで販売、逮捕(ACCS)
住民へのインタビューファイルを宗教団体「アレフ」に誤送信(NHK札幌放送局)
制作委託会社のディレクターが映像ファイルを第三者に誤送信(NHK)
調査・レポート・白書 記事一覧へ
APACでは日本の脅威アラートは少数、それでも18%が1日50件以上(ジュニパーネットワークス)
不正ログイン試行は月30%の割合で増加、ボットネットを活用(アカマイ)
「情報セキュリティ対策ベンチマーク」最新版、および統計情報を公開(IPA)
企業・団体等の常時SSL化状況、大学・銀行・小中高校で高い割合(JIPDEC)
WannaCryなどで使用されたポート445へのパケットが増加--定点観測レポート(JPCERT/CC)
根拠なき安心へ突きつける不吉な答え - 書評「原発サイバートラップ」
研修・セミナー・カンファレンス 記事一覧へ
セキュリティ技術者が取締役会で報告を求められたら ~ ガートナーが教えるプレゼン術4つのポイント
![遂に開催「ペネトレーションテスト最高会議」見えて来る あんな事やこんな事 [Internet Week 2018] 画像](/imgs/std_m/25781.jpg)
遂に開催「ペネトレーションテスト最高会議」見えて来る あんな事やこんな事 [Internet Week 2018]
奥家氏や名和氏、鴨志田氏など登壇のサイバーセキュリティセミナー(DNP)
次世代サービスプロバイダーとエッジコンピューティングのサミット共催(リックテレコム)
電子投票マシンの脆弱性、中間選挙で使用された実機検証で発見された不審な痕跡とは
![[開催前日] 篠田佳奈の CODE BLUE 2018、Scan 読者向けおすすめセッション 画像](/imgs/std_m/25699.jpg)
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
