DROWN と呼ばれる HTTPS 暗号化の脆弱性の発見は、古くて使い古されたプロトコルをサポートすると現代の暗号システムが弱体化することを再び証明しています。
DROWN(別名:旧式で脆弱な暗号によるRSA暗号の復号)は、インターネットセキュリティの中核となる暗号プロトコルであるSSLとTLSを利用するHTTPSウェブサイトやその他のネットワークサービスに影響を及ぼす深刻な設計上の欠陥です。以前の報告によると、この問題の発見に関わったコンピューター科学者たちは、HTTPSサーバーの約3分の1が攻撃に対して脆弱であると警告しています。
DROWN は基本的に、悪意のある人物が被害者の暗号化された Web 接続を盗聴して解読し、パスワードなどを盗み取ることを可能にします。
「DROWN により、攻撃者は暗号を解読し、パスワード、クレジットカード番号、企業秘密、財務データなどの機密通信を読み取ったり盗んだりすることが可能になります」と研究チームは述べています。
米国、イスラエル、ドイツの大学から合計 15 人の専門家が研究に参加し、本日「DROWN: SSLv2 を使用した TLS の突破」という論文が発表されました。こちらから [PDF] ご覧いただけます。
現代のサーバーとクライアントはTLS暗号化プロトコルを使用しています。しかし、設定がずさんなため、多くのサーバーは1990年代にTLSの前身となったSSLv2をサポートし続けています。これは明らかにセキュリティ上の弱点のように思えますが、最新のソフトウェアでSSLv2が実際に使用されているものはないため、これまではそれほど問題視されていませんでした。最近のアプリやその他のプログラムはTLSを使用する傾向にあります。
SSLv2 は長年にわたって絶望的に安全ではありませんでしたが、クライアント側のソフトウェアが SSLv2 を使用していなかったため、サーバー側で SSLv2 をサポートするだけでは、一般的にセキュリティ上の問題とは見なされませんでした。
溺れて排除される:脆弱な旧来の技術がセキュリティを破壊
DROWN をゲームチェンジャーと表現するのは大げさなことではありません。
DROWNは、SSLv2をサポートするだけで、最新のサーバーとクライアントが危険にさらされることを示しています。ハッカーはv2プロトコルの脆弱性を悪用し、最新のクライアントとサーバー間の通信を復号化できます。たとえ、クライアントとサーバーがTLS v1.2などのより強力なプロトコルを使用して安全に情報を交換していたとしてもです。この攻撃の手口は、SSLv2をサポートし、複数のプロトコルで同じ秘密鍵を再利用しているサーバーに、膨大な量のプローブを送信することです。
状況によっては、攻撃者が中間者攻撃を実行して安全な Web サイトになりすまし、ユーザーが見るコンテンツを傍受したり変更したりする可能性があります。
ウェブサイト、メールサーバー、その他のTLS依存サービスは、DROWN攻撃の危険にさらされています。研究者が火曜日に調査結果を公表する前に、このセキュリティ上の欠陥の詳細はソフトウェアベンダーに共有されており、この問題を修正するためのパッチが利用可能になるはずです。
DROWNの脆弱性を悪用するのは容易ではありませんが、技術力の高い人であれば、多額の費用をかけずに高価値な標的を攻撃することができます。この脆弱性の研究者たちは、一般的なサブスクリプション型のクラウドシステムから500ドル未満で攻撃を仕掛けられると見積もっています。
私たちはまだ最初の暗号戦争を戦っている
本日はサンフランシスコで開催されるRSAカンファレンスの初日で、殺人犯のiPhoneに保存されていた情報の解読をめぐるAppleとFBIの法廷闘争に関する講演や討論が予定されていました。しかし、会場での議論は、この新たな暗号セキュリティ問題へと移りそうです。この問題は、1990年代に米国政府が暗号を無効化しようとしたことに端を発すると考える声もあります。
「90年代の『輸出用』レベルの脆弱な暗号は、当時アメリカ政府によって義務付けられており、『純粋な毒』だ」と、ACLUの主席テクノロジスト、クリストファー・ソゴイアン氏は自身のTwitterストリームでツイートした。「アメリカ政府は90年代に、テクノロジー業界に脆弱な暗号の使用を強制した。DROWN攻撃は、脆弱な暗号の長期的なコストを如実に示している」とソゴイアン氏は付け加えた。
ブラウンアラート
より当面は、システム管理者は欠陥に対処するために多大の労力を費やすことになるだろう。
モバイルセキュリティ企業Duo SecurityのKyle Lady氏は、次のようにコメントしています。「システム管理の観点から見ると、このバグは包括的なセキュリティ評価の重要性を示しています。Webサーバーのセキュリティを確保しながら、他のコンポーネント(メールサーバーなど)を古く安全でない設定のままにしておくだけでは不十分です。SSLv2は2011年に正式に廃止されているため、サーバーソフトウェアが互換性のために最も緩い暗号化設定で出荷されることが多いという点を除けば、SSLv2を使用するサーバーは実際には存在しないはずです。」
開発者はこのインシデントから教訓を得るべきだとレディ氏は付け加えた。「このバグは、新しいコードだけでなく古いコードも監査することの重要性を改めて浮き彫りにしています。最近のOpenSSLの脆弱性の多くは、何年も前から配布されているコードで発見されており、バグが気づかれていないだけなのです。さらに、プログラムの新しい機能は、攻撃者が古いコードに隠れていたバグを悪用する道を開く可能性があります」と彼は結論付けた。
DROWN が SSLv2 を悪用して TLS を攻撃する方法については、クラウド セキュリティ企業 Qualys のエンジニアリング ディレクターであり、『Bulletproof SSL and TLS』の著者でもある Ivan Ristic 氏がこちらのブログ投稿で説明しています。
Ristic氏は、「時代遅れの暗号は危険だ」という専門家の一般的な見解を支持し、ITスタッフに対し、今すぐSSL v2をあらゆる場所で無効化するよう勧告しています。Ristic氏は、過去の暗号攻撃が、時代遅れの暗号技術をサポートすることの本質的な問題を示唆していたと主張しています。
「長年、SSL v2を無効化しない理由は、そもそもどのブラウザもSSL v2を使っていないので害はないというものでした」とリスティック氏は結論づけた。「Logjamを知る前、そしてFREAKが出現する前から、同じ意見を耳にしていました。このアプローチは明らかに機能していません。今後は、廃止された暗号技術をすべてのシステムから積極的に削除する必要があります。そうでなければ、遅かれ早かれ、私たちに跳ね返ってくるでしょう」と彼は付け加えた。
コンピュータサイエンスの教授であるマシュー・グリーン氏は、こちらのブログ記事でDROWN脆弱性とその潜在的な影響について優れた概要を説明しています。ブログ記事に掲載されているゾンビの写真には「SSLv2エクスポート暗号」というキャプションが付けられており、セキュリティ専門家の一般的な見解を簡潔にまとめています。®
