「FREAK」の脆弱性問題、国内サイト多数にも影響か

　

　インターネット通信の暗号化に使われるTLS/SSLプロトコルに1990年代の米暗号輸出規制に起因する脆弱性（通称「FREAK」）が発覚した問題は、多数の国内サイトにも影響が及ぶようだ。一方、ブラウザベンダーでの対応も進みつつある。
　
　　この脆弱性は、フランス国立情報学自動制御研究所や米Microsoftなどの研究チームが発見したもので、OpenSSLの1.0.1kより前のバージョンやMicrosoft WindowsのSchannel、AppleのSecureTransportなどにも存在する。脆弱性を悪用された場合、中間者攻撃などによって通信が強度の弱い512ビット以下の「RSA Export Suites」に切り替えさせられ、第三者に通信の内容を盗聴されたり、改ざんされてしまったりする恐れがある。
　
　　トレンドマイクロによれば、現在のコンピュータの能力を使えば512ビットのRSA Export Suitesによる暗号化通信は約7時間で復号化できるといい、100ドル程度で復号化に必要なコンピュータのリソースをクラウドから調達できると解説している。
　
　　FREAK問題の情報を提供する「freakattack.com」によると、米国時間3月6日現在でAlexaの上位100万サイトの9.5％が脆弱性の影響を受けるという。この割合は脆弱性情報が公開された同月3日に比べると、約3ポイント低アした。なお、全てのHTTPサーバでは26.3％が影響を受けるとしている。
　
　　脆弱性の影響を受けるとしたAlexaの上位100万サイトのうち、「.jp」ドメインは2700サイト以上あり、上位1万サイトでは少なくとも17の日本語サイトが見つかった。この中には大手金融機関や航空、メーカー、メディア、オンラインサービスなどの企業が含まれている。
　
　　米セキュリティ機関のUS-CERTによると、既にGoogleがAndroid OSとMac向けのChromeブラウザで脆弱性に対処したという。freakattack.comの脆弱性確認サービスではWindows向けのChromeブラウザの最新版でも脆弱性が解決されているもようだ。また、Appleは3月9日の週にセキュリティアップデートのリリースを予定しているといい、Microsoftはセキュリティアドバイザリーを公開して当面の回避策などを紹介している。
　
　　対策としてトレンドマイクロは、一般ユーザーには脆弱性が修正されたソフトウェアの利用を推奨し、未修正の製品の利用は避けること、サーバ管理者にはRSA Export Suitesの使用を停止するとともに、OpenSSLを最新版に更新するようアドバイスしている。