FREAK脆弱性

SSL通信にFREAKと名付けられた脆弱性が公開されました。

このところSSL通信で未知の脆弱性が発見され、公開、報告されることが多くなっています。

OpenSSLというオープンソースで構築されたWebサーバーの暗号化に使われているソフトウェアの、実装上の問題です。

OpenSSLを使ってないサービスには問題はなく、またOpenSSLでも正しく設定されていれば影響を受けないものですが、世界中で普及している方式ですので、何割かのサーバーでこの対策が取られていないことが推測されます。

SSLなど暗号通信は、歴史的に見ると米国では軍事技術とみなされていて、他国に暗号化通信の仕組みのあるソフトウェアを輸出する際に、弱いグレードの暗号化しか使わないようにする施策が取られていました。

暗号化通信の仕組みのあるソフトウェアとはInternet Explorerを組み込んだWindowsや、その他様々な暗号化通信を行うソフトウェアがこの規制の対象になっていました。

この弱いグレードの暗号化は、パソコンを利用しても暗号化を破り、平文解読できるぐらい弱いものでした。

現在はこの輸出規制が取り除かれて、十分な長さの鍵長をもつ暗号化鍵を利用できるようになっていますが、当時全てのパソコンがこの強い暗号化に対応していないことを見越して、グレードの低い暗号化で一時的なやりとりする仕組みがOpenSSLに組み込まれていました。

今回の脆弱性はこの頃に実装された暗号化ダウングレードの際の脆弱性を突いています。

暗号化通信の傍受には中間者と言ってサーバーとクライアントの間に、なんらか通信の傍受を意図した者が、その通信を捉え続け介入する必要があります。

あらゆる通信についてこの傍受を行なうと非常にコストが高いですが、ターゲットを定めた特定のやり取りの中に入り込むことで重要な情報を傍受することができ、傍受された側はそれを察知することができなく、記録も残らないものです。

ですので現在のところ一般の方に大きなリスクをもたらすものではありませんが、今回この脆弱性を公開したグループは、かつて暗号の輸出規制を定めた米国国家安全保障局のWebサーバーにもこの脆弱性があることを公開しています。