広告

致命的なセキュリティ・ホールがまた発見される

最近発見されるセキュリティーホールは、過去のソフトをサポートすることによる上位互換により発生することが多くなっています。
今回発見されたセキュリティーホールも1990年代のアメリカの輸出規制が原因となっています。

もともと強力な暗号化の輸出を禁じていたために、暗号化を弱くして輸出していました。
これはアメリカが他の国の通信等を盗聴するための処置でした。
この規制が撤廃されたあとも、この弱くした暗号化がサポートし続けられたために今回のセキュリティーホールの問題が発生しました。

実際に研究者はこの弱い暗号化を使用ブラウザを乗っ取ることができ、そこからパスワードや個人情報などを盗めることを確認しました。
さらにFacebookやLikeボタンを経由すことでwebサイト全体に幅広く攻撃することが可能となります。

この問題は現在政府がバックドアを設けるように圧力をかけていることにも影響を及ぼします。
この機能を実装したことで、予期できないセキュリティーホールを作る恐れがあることを証明してしまったからです。

今回AmazonのWebサービスコンピューターを使用することで、約7時間で輸出グレードの暗号化キーを解読できることも確認されています。
暗号キーを解読できると、中間者攻撃が行えることになります。

なおこの堕弱性を含むサイトは、報道機関、小売業者、金融サービス、など1,400万のwebサイトで確認されています。
この堕弱性はFREAK(Factoring attach on RSA-EXPOTY Keys)と名付けられました。
既にFBIやホワイトハウスのサイトは修正され、Appleも来週にパッチを配布する準備をしています。

GoogleのChromeブラウザはFREAKのバグに対して問題はありませんが、Androidのブラウザはこの影響を受けます。
Googleの検索サイトへの接続は影響を受けません。
GoogleはAndroidのブラウザ向けのパッチを開発し、それをパートナー企業に配布することを発表しています。

[ソース:washingtonpost]