FREAK脆弱性に対する各メーカーの対応と情報

アウトレット特別特価

SSL/TLSの実装に関する脆弱性(ネットの暗号化技術に関するセキュリティー上の脆弱性)であるFREAK(Factoring RSA Export Keys)について、当初は影響を受けるシステムとしてOpenSSLやSafari、Androidなどとされていましたが、Windowsも、その影響を受けるようです。

攻撃者が、中間者攻撃でこの脆弱性を悪用することで、強度の低い輸出用RSAの使用を強制することができ、これにより暗号が解読されてしまう恐れがあるとするものです。

Windows サーバーは、2003を除き、既定の設定では、輸出用RSA 鍵交換の暗号化スイートを利用しないため、攻撃の影響を受けないとの事。
TechNet Blogs

FREAKに関しては、freakattack.comというサイトで、対応状況がまとめられています。

上記にアクセスすると、上部に青網掛けの下に「Good News! Your browser appears to be safe from the FREAK attack.」と表示されれば、問題なし。
赤の網掛けであれば、問題ありという事です。

また、上記サイトには、対応方法として以下の事が述べられています。

対処法としては、上記サイトには、

  • サーバー運用者
    すぐにTLS輸出暗号スイートのサポートと他の低セキュリティの暗号スイートを無効にする。
  • 一般ブラウジング(ネットユーザー)
    ブラウザの最新バージョンに入替え、アップデートを行う。
  • システム管理者・開発者
    パッチを未適用のOpenSSL、マイクロソフトSchannelの、とAppleのsecureTransportすべてが脆弱性の影響下にあるため、使用するすべてのTLSライブラリが最新のものであることを確認する事。

を推奨しています。

上記サイトには、Alexaトップ100万で、どのサーバがFREAKの影響下にあるかについても、記載されています。

なお、マイクロソフトは、セキュリティ アドバイザリ 3046015において、「Schannel の脆弱性により、セキュリティ機能のバイパスが起こる」という内容でこの問題についてアナウンスし、更新プログラムが利用可能になるまでの回避策の提供をしています。

グループ ポリシー オブジェクト エディター (Windows Vista およびその後のバージョンのみ) を使用して RSA 鍵交換暗号化を無効にする事で、
具体的内容については、上記サイトに記載がありますので、ご確認ください。

各メーカーの対応としては、

  • マイクロソフトは5日に、ウィンドウズ搭載のPCもFreakによる攻撃の対象になるとして注意を促し、次善策を講じるよう指示。現在進めている調査終了後に適切な対応を取るとしている。
  • アップルは脆弱性に対応した更新ソフトウエアを開発したとしており、来週の配布を予定している。
  • グーグルも修正パッチを開発し、アンドロイド搭載機器を製造するメーカーに提供したとしている。

ハフィントンポストより引用

との事。現在は、まだこの脆弱性を利用した攻撃は確認されていないそうですが、影響を受けるドメインは、各メーカーからの情報に注意する必要があります。

「FREAK」については、下記のトレンドマイクロのレポートが詳しいです。
SSL/TLS通信時の脆弱性「FREAK」、その影響度は?

コメント

  1. ksgkoba より:

    米国時間3月9日にリリースしたモバイルOS「iOS 8.2」で、Appleは「FREAK」に対する脆弱性を修正したとの事です。
    Appleによれば、「FREAK」の脆弱性の影響があるのは「iPhone 4S」以降の端末、「iPod touch」(第5世代以降)、「iPad 2」以降のモデルとの事でした。

  2. ksgkoba より:

    3/11のWindowsUpdateで、Windowsでの対策修正されました。