Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

多数のブラウザやSSL対応サイトが非推奨の暗号アルゴリズムを優先的に利用

金融系サイトをはじめ、多数サイトで強度面から非推奨とされる暗号アルゴリズムを、SSL接続で優先的に用いていることがわかった。なかでも「Windows XP」を用いた調査では、すべて非推奨のアルゴリズムにより接続されたという。

情報処理推進機構(IPA)が、主要ブラウザやSSLサーバにおけるSSLの設定や運用状況について、報告書を取りまとめたもの。調査は日本ネットワークセキュリティ協会(JNSA)が実施した。

通信の暗号化で利用されるSSLプロトコルは、電子商取引などにおいて安全性を確保する上で重要な機能。一方で、SSLサーバやブラウザは、汎用性や輸出規制に配慮して弱い暗号アルゴリズムを利用できるよう設計されており、使用アルゴリズムは設定に依存することから、2011年11月から2012年1月にかけて実態調査を行った。

具体的には、利用が想定される15種類のサーバ構成や38種類のクライアント環境について、SSLプロトコルに用いられる暗号アルゴリズムとハッシュアルゴリズムを組み合わせた「Cipher suite」の利用優先度を調査した。

各ブラウザでは、暗号強度が異なる「Cipher suite」を複数サポートしているが、OSやブラウザの種類によって優先順位が大きく異なることが調査で浮き彫りとなっている。

「Windows XP」の「IE」では、米国立標準技術研究所(NIST)や日本国内で暗号の安全性を評価するCRYPTRECが非推奨とする「TLS_RSA_WITH_RC4_128_MD5」の優先順位がもっとも高い。「Windows Vista」以降では、推奨アルゴリズム「TLS_RSA_WITH_AES_128_CBC_SHA」を最優先で利用するよう変更されている。

一方、「FireFox」では、「Windows」や「Mac OS X」「Ubuntu」といったOSに関わらず、「TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA」を優先して利用するよう設定されていた。また「Safari」などは、OSによって優先順位が異なる。

利用する暗号化アルゴリズムは、ブラウザ側による優先順位にくわえ、サーバ側の設定にも依存することから、今回の調査ではクライアントを用いて、オンラインショッピング、インターネットバンキング、ネットトレードなど、金融系、物販系、非物販系の3業界における300以上のSSLサーバを調べている。

金融系では「TLS_RSA_WITH_RC4_128_MD5(54.1%)」をはじめ、非推奨である暗号アルゴリズムおよびメッセージ認証が接続に利用されたケースが85.1%に達した。物販系(53.7%)、非物販系(47.5%)の割合も大きい。

各OSの環境を見ると、いずれも約6割が非推奨環境で接続されたが、特にWindows XP環境では非推奨の「Cipher suite」による接続率が高く、「IE」や「Safari」を利用した場合、すべて非推奨の「Cipher suite」による接続だった。

また「Android」や「iOS」など携帯デバイスにおける接続状況を見ると、スマートフォンやタブレット端末では、多く環境で50%以上が非推奨の「Cipher suite」で接続される状況で、「Android 2.3」では90%にのぼっている。

(Security NEXT - 2012/12/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

オムロンとシスコ - 制御装置のセキュリティ分野で技術提携
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
仕様変更によるChrome警告表示に冷静な対応呼びかけ - IPA
JPCERT/CC、都内でアナリスト向けのカンファレンスイベント
「CRYPTRECシンポジウム2017」が12月に開催
サイバートラスト、「セキュアIoTプラットフォーム」事業を強化 - ラックとの資本提携も
「CODE BLUE 2017」の全22講演が決定
約4割の組織で重大被害 - 売上機会損失など含む平均被害額は2.3億円
NTTコムとNTTPC、IoTセキュリティ基盤の有用性を検証する実証実験
2017年2Qは脆弱性への攻撃が増加 - エクスプロイト公開が影響