2015年4月1日水曜日

ショッピングサイトなどの暗号化通信SSL/TLSに脆弱性、ブラウザを最新版に!

今、話題のSSL/TLSの脆弱性「FREAK」、「SSL/TLS」はインターネットの通信を暗号化し、サイトが信頼できるかを確認する技術です。

この大事な技術「SSL/TLS」に脆弱性(不具合)があり、悪用することで、強度の低い暗号を強制的に使用させ、これにより暗号が解読されてしまう恐れがあります。*この脆弱性が「FREAK」と呼ばれています。

この問題は、パソコンの全ブラウザに関係します。

使っているブラウザがFREAK脆弱性に対応しているか確認して下さい。なお、対応していない場合は、最新版に更新して、再度確認してください。


この「SSL/TLS」は全てのブラウザで使用されており、もし、この脆弱性(不具合)をそのままにしておくと、ショッピング・サイト、インターネット・バンキング、Webサービスなどの、ID・パスワードなどの重要な個人情報が盗まれる危険性があります。


 SSL/TLSの脆弱性「FREAK」、インターネット通信が解読され、個人情報が盗まれる危険性!

 全てのブラウザに影響、ブラウザを最新版に!

 最新版に更新しても、ブラウザがFREAK脆弱性に対応していない場合は、
 他のブラウザを使用しましょう!!


パソコンのブラウザがFREAK脆弱性に対応しているか確認する方法を次に紹介しますが、私は、この方法で、IE11、Firefox、Chrome、Operaのブラウザを確認し、全て、FREAK脆弱性に対応してOKでした。これらのブラウザ、最新版では大丈夫なようです。


なお、スマホの多くのアプリにもFREAK脆弱性があります。スマホのアプリも最新版に更新して下さい。また、スマホのアプリの問題は、以下を参照下さい。

 スマホのアプリ、最新版への更新が必要
 http://lifesecurityup.blogspot.jp/2015/03/freak.html



■パソコンのブラウザがFREAK脆弱性に対応しているか確認する方法

以下のサイトの情報をもとに確認方法を紹介します。

 サーバやブラウザがFREAK脆弱性(CVE-2015-0204)に対応しているか確かめる方法。
 http://applech2.com/archives/43653159.html


なお、確認した結果、ブラウザがFREAK脆弱性に対応していない場合は、すぐにブラウザを最新版に更新してください。

万が一、最新版に更新しても、ブラウザがFREAK脆弱性に対応していない場合は、他のブラウザを使用することをお勧めします。


 [ブラウザがFREAK脆弱性に対応しているか確認する方法]

 ①各ブラウザでFREAK脆弱性のチェックサイト"freakattack.com"にアクセス

  Tracking the FREAK Attack
   https://freakattack.com/

 ②"Good News" Your browser appears to be safe from the FREAK Attack!"
  と表示されれば安全

 ③"Worning!"が出れば脆弱性が存在



■暗号化通信SSL/TLSとは

「SSL/TLS」を使うことで、例えば,ショッピング・サイトに住所・氏名や,クレジットカードの番号を送る時などに,「サーバーが正しいかを確認して,情報を暗号化して送信する」ということができます。

サイトにアクセスする際に、SSLあるいはTLSによって暗号化されていると、URLが「https」で始まります。なお、SSLは、元々は米ネットスケープ社が開発した技術で、TLSはSSLをもとに作られた技術です。


■「FREAK」の脆弱性とは

暗号化プロトコル「SSL/TLS」で、暗号強度が弱い「輸出向けの暗号」を使っている問題点が、「FREAK」の脆弱性で、簡単に中間者攻撃を受け、通信内容を盗聴されます。

1990 年代の米国政府の輸出規制により、輸出向けの暗号化ソフトウェアは米国内市場向けの暗号化ほど、安全ではない、暗号強度の低い、「輸出仕様」の暗号化を使用するよう義務付けられていました。

この輸出規制自体はかなり以前に撤廃されましたが、「輸出仕様」の暗号化は存続したままです。この暗号化の強度は、非常に弱いもので、わずか数時間で復号することが可能です。

「FREAK」の脆弱性を悪用することで、強度の低い輸出用RSAの使用を強制することができ、これにより暗号が解読されてしまう恐れがあります。

この「FREAK」の脆弱性は、パソコンの全てのブラウザに影響があるとされています。