2つの独立したセキュリティ研究グループが,インターネットアプリケーションで広く利用されているOpenSSL暗号化ライブラリの中にある,2つの重大な欠陥をそれぞれ新たに発表した。OpenSSLを使用しているシステム(Linux, Mac OS XなどUNIXベースのシステムが主だが,限定はされない)の管理者はパッチを確認し,可能な限り早急に適用すべきだ。さらに,SSLの利用はあくまでも攻撃の起点に過ぎないので,OpenSSLを使用していないサーバでもリスクと無縁ではない点にも注意が必要だ。
第1の欠陥は,“Decrypting RSA with Obsolete and Weakened eNcryption”の意味からDROWNと命名された。学界と企業双方の研究者により,詳細な調査報告が公開されている。その報告書によると,安全でないSSLv2プロトコルが存在することにより,HTTPSを使用する約1,150万台のサーバに脆弱性が発生する可能性がある。ここでの脆弱性は,“SSLv2を直接提供していないHTTPSサーバの多くが,他のサービスとRSA鍵を共有している”ことによるものだ。DROWNチームが用いた特殊な手段を使えば,“RSA鍵をSSLv2に使用する任意のTLSサーバが受動的に収集したRSA鍵交換を ... 別のサーバ上でも”,GPUクラスタを占有すれば18時間程度で,Amazon EC2インスタンスならば8時間以内に破ることができる(推測時間は2048bit RSA暗号文に基づく)。
しかも,DROWN攻撃アプリケーションがOpenSSL内のある欠陥を利用すれば,シングルコアのマシン上でも復号化を十分な速さで実行できるため,“ハンドシェイクがタイムアウトする前の実行中のTLSセッションに介入者(man-in-the-middle)攻撃を行なうことにより,RSA暗号以外のスイートを使用しているサーバへのコネクションを,最新鋭のTLSクライアントからRSA鍵交換にダウングレードさせることでさえ”可能だという(強調部分筆者)。
これでもまだ不十分というように,OpenSSLに影響する第2の欠陥が,まったく別の研究グループによって発表された。CacheBleedと呼ばれるこの欠陥は,“Intelプロセッサ内のキャッシュバンク競合を通じた情報漏えいを利用する,いわゆるサイドチャネル攻撃”である。この問題は,“一般的には信頼性の低いワークロードを手動で実行するクラウドサーバ”に影響するもので,CPUのハイパースレッディングを無効にすれば緩和することができる。同チームでは現在,少なくともすべてのSandy Bridgeプロセッサ,可能性としてはNehalemとCore 2などの旧アーキテクチャに脆弱性が存在するという見解を持っている。Intel Haswellベースのシステムへの攻撃は,現時点では無効だと考えられる。
OpenBSDグループによるOpenSSLフォークであるLibreSSLを使用するシステム構成には,DROWN攻撃に対する脆弱性は存在しないが,特定の環境下において,攻撃者がローカルアクセス権を所有している場合には,CacheBleed脆弱性を実行できる可能性がある。DROWNはSSL利用を対象としているので,その影響はOpenSSLを利用する場合に限定されない。IISを運用しているシステム管理者であっても,自身の構成設定を再確認する必要がある。
この記事を評価
- 編集者評
- 編集長対応