低スペックPCでハイエンドWebサーバをクラッシュさせるツールが公開、サービス妨害攻撃がSSLを標的に(The Register) | ScanNetSecurity
2020.09.28(月)

低スペックPCでハイエンドWebサーバをクラッシュさせるツールが公開、サービス妨害攻撃がSSLを標的に(The Register)

ハッカー達が、ソフトウェアをリリースした。Secure Sockets Layer実装における、十分に裏付けのある欠陥を標的とすることで、単一のコンピュータによりサーバをオフラインにすることが可能だというものだ。

国際 TheRegister
ハッカー達が、ソフトウェアをリリースした。Secure Sockets Layer実装における、十分に裏付けのある欠陥を標的とすることで、単一のコンピュータによりサーバをオフラインにすることが可能だというものだ。

ドイツのハッカーグループThe Hacker's Choiceが月曜、同ツールをリリースしたが、これは一つには、社会保障番号や他の機密データがサーバとエンドユーザーのコンピュータを行き来する際、モニターされないよう、Webサイトが使用するSSLに、長期にわたって存在する一連の欠陥と、彼らが指摘するものに、注意を向けるためだ。

「我々はSSLの怪しげなセキュリティが、注目されずに終わることがないよう望んでいる」と、同グループの匿名メンバーがブログに書いている。「業界は市民が安全と機密性を取り戻せるよう、この問題の修正を開始すべきだ。SSLはプライベートデータを保護するのに、複雑で意味のない、そして21世紀には適さぬ古くさいメソッドを使用している。」

このTHC-SSL-DOSは、普通にインターネット接続している単一のコンピュータで、膨大な帯域を持つ、はるかにパワフルなサーバをクラッシュさせることができるが、それはサーバがSSL再ネゴシエーションとして知られる手順をサポートしている場合のみだと、月曜の投稿にある。再ネゴシエーションは、、暗号化されたセッションが既に開始された後で、通信を保護する新たな秘密鍵を確立するために使用される。攻撃者が2つのエンドポイント間を通過する暗号化されたトラフィックに対して、テキストをインジェクトできるという、2009年に発見されたSSLプロトコルの欠陥の中心となっているのが再ネゴシエーションだ…

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×