低スペックPCでハイエンドWebサーバをクラッシュさせるツールが公開、サービス妨害攻撃がSSLを標的に(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.24(水)

低スペックPCでハイエンドWebサーバをクラッシュさせるツールが公開、サービス妨害攻撃がSSLを標的に(The Register)

国際 TheRegister

ハッカー達が、ソフトウェアをリリースした。Secure Sockets Layer実装における、十分に裏付けのある欠陥を標的とすることで、単一のコンピュータによりサーバをオフラインにすることが可能だというものだ。

ドイツのハッカーグループThe Hacker's Choiceが月曜、同ツールをリリースしたが、これは一つには、社会保障番号や他の機密データがサーバとエンドユーザーのコンピュータを行き来する際、モニターされないよう、Webサイトが使用するSSLに、長期にわたって存在する一連の欠陥と、彼らが指摘するものに、注意を向けるためだ。

「我々はSSLの怪しげなセキュリティが、注目されずに終わることがないよう望んでいる」と、同グループの匿名メンバーがブログに書いている。「業界は市民が安全と機密性を取り戻せるよう、この問題の修正を開始すべきだ。SSLはプライベートデータを保護するのに、複雑で意味のない、そして21世紀には適さぬ古くさいメソッドを使用している。」

このTHC-SSL-DOSは、普通にインターネット接続している単一のコンピュータで、膨大な帯域を持つ、はるかにパワフルなサーバをクラッシュさせることができるが、それはサーバがSSL再ネゴシエーションとして知られる手順をサポートしている場合のみだと、月曜の投稿にある。再ネゴシエーションは、、暗号化されたセッションが既に開始された後で、通信を保護する新たな秘密鍵を確立するために使用される。攻撃者が2つのエンドポイント間を通過する暗号化されたトラフィックに対して、テキストをインジェクトできるという、2009年に発見されたSSLプロトコルの欠陥の中心となっているのが再ネゴシエーションだ…

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×