Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

多数のブラウザやSSL対応サイトが非推奨の暗号アルゴリズムを優先的に利用

金融系サイトをはじめ、多数サイトで強度面から非推奨とされる暗号アルゴリズムを、SSL接続で優先的に用いていることがわかった。なかでも「Windows XP」を用いた調査では、すべて非推奨のアルゴリズムにより接続されたという。

情報処理推進機構(IPA)が、主要ブラウザやSSLサーバにおけるSSLの設定や運用状況について、報告書を取りまとめたもの。調査は日本ネットワークセキュリティ協会(JNSA)が実施した。

通信の暗号化で利用されるSSLプロトコルは、電子商取引などにおいて安全性を確保する上で重要な機能。一方で、SSLサーバやブラウザは、汎用性や輸出規制に配慮して弱い暗号アルゴリズムを利用できるよう設計されており、使用アルゴリズムは設定に依存することから、2011年11月から2012年1月にかけて実態調査を行った。

具体的には、利用が想定される15種類のサーバ構成や38種類のクライアント環境について、SSLプロトコルに用いられる暗号アルゴリズムとハッシュアルゴリズムを組み合わせた「Cipher suite」の利用優先度を調査した。

各ブラウザでは、暗号強度が異なる「Cipher suite」を複数サポートしているが、OSやブラウザの種類によって優先順位が大きく異なることが調査で浮き彫りとなっている。

「Windows XP」の「IE」では、米国立標準技術研究所(NIST)や日本国内で暗号の安全性を評価するCRYPTRECが非推奨とする「TLS_RSA_WITH_RC4_128_MD5」の優先順位がもっとも高い。「Windows Vista」以降では、推奨アルゴリズム「TLS_RSA_WITH_AES_128_CBC_SHA」を最優先で利用するよう変更されている。

一方、「FireFox」では、「Windows」や「Mac OS X」「Ubuntu」といったOSに関わらず、「TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA」を優先して利用するよう設定されていた。また「Safari」などは、OSによって優先順位が異なる。

利用する暗号化アルゴリズムは、ブラウザ側による優先順位にくわえ、サーバ側の設定にも依存することから、今回の調査ではクライアントを用いて、オンラインショッピング、インターネットバンキング、ネットトレードなど、金融系、物販系、非物販系の3業界における300以上のSSLサーバを調べている。

金融系では「TLS_RSA_WITH_RC4_128_MD5(54.1%)」をはじめ、非推奨である暗号アルゴリズムおよびメッセージ認証が接続に利用されたケースが85.1%に達した。物販系(53.7%)、非物販系(47.5%)の割合も大きい。

各OSの環境を見ると、いずれも約6割が非推奨環境で接続されたが、特にWindows XP環境では非推奨の「Cipher suite」による接続率が高く、「IE」や「Safari」を利用した場合、すべて非推奨の「Cipher suite」による接続だった。

また「Android」や「iOS」など携帯デバイスにおける接続状況を見ると、スマートフォンやタブレット端末では、多く環境で50%以上が非推奨の「Cipher suite」で接続される状況で、「Android 2.3」では90%にのぼっている。

(Security NEXT - 2012/12/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

情報漏洩対策製品の国内市場、2017年は前年比2%増
2017年度の情報セキュリティ市場は9965億円 - 前年度比483億円増と堅調
「SSL/TLS暗号設定ガイドライン Ver.2.0」を公開 - IPA
「WannaCrypt」騒ぎから約1年、GWに向けてセキュリティ対策の確認を
総務省、「テレワークセキュリティガイドライン」改正案でパブコメ
公衆無線LANにおけるセキュリティのあり方をまとめた報告書 - 総務省
JNSA、公開鍵暗号技術を考えるセミナーを都内で開催
総務省 - 公衆無線LANのセキュリティ対策で意見募集
企業における暗号化製品の導入率は45% - 中小3割に満たず
なくならない「WannaCrypt」の検出 - 国内で少なくとも1900台が脆弱性を放置か