低スペックPCでハイエンドWebサーバをクラッシュさせるツールが公開、サービス妨害攻撃がSSLを標的に(The Register) | ScanNetSecurity
2021.07.26(月)

低スペックPCでハイエンドWebサーバをクラッシュさせるツールが公開、サービス妨害攻撃がSSLを標的に(The Register)

ハッカー達が、ソフトウェアをリリースした。Secure Sockets Layer実装における、十分に裏付けのある欠陥を標的とすることで、単一のコンピュータによりサーバをオフラインにすることが可能だというものだ。

国際 TheRegister
ハッカー達が、ソフトウェアをリリースした。Secure Sockets Layer実装における、十分に裏付けのある欠陥を標的とすることで、単一のコンピュータによりサーバをオフラインにすることが可能だというものだ。

ドイツのハッカーグループThe Hacker's Choiceが月曜、同ツールをリリースしたが、これは一つには、社会保障番号や他の機密データがサーバとエンドユーザーのコンピュータを行き来する際、モニターされないよう、Webサイトが使用するSSLに、長期にわたって存在する一連の欠陥と、彼らが指摘するものに、注意を向けるためだ。

「我々はSSLの怪しげなセキュリティが、注目されずに終わることがないよう望んでいる」と、同グループの匿名メンバーがブログに書いている。「業界は市民が安全と機密性を取り戻せるよう、この問題の修正を開始すべきだ。SSLはプライベートデータを保護するのに、複雑で意味のない、そして21世紀には適さぬ古くさいメソッドを使用している。」

このTHC-SSL-DOSは、普通にインターネット接続している単一のコンピュータで、膨大な帯域を持つ、はるかにパワフルなサーバをクラッシュさせることができるが、それはサーバがSSL再ネゴシエーションとして知られる手順をサポートしている場合のみだと、月曜の投稿にある。再ネゴシエーションは、、暗号化されたセッションが既に開始された後で、通信を保護する新たな秘密鍵を確立するために使用される。攻撃者が2つのエンドポイント間を通過する暗号化されたトラフィックに対して、テキストをインジェクトできるという、2009年に発見されたSSLプロトコルの欠陥の中心となっているのが再ネゴシエーションだ…

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×