Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

TLSに脆弱性「Logjam」 - 国家レベルなら1024ビットまで盗聴可能

また研究チームは、512ビットに限らず、768ビットに対しても研究機関であれば盗聴などが可能であり、1024ビットに関しても、国家レベルであれば攻撃が可能であると指摘。HTTPSを利用する上位100万サイトにおいて、18%が攻撃可能な1024ビットによる通信を行っていた。

元CIAのエージェントだったEdward Snowden氏の告発により、米国家安全保障局(National Security Agency)による暗号化通信の傍受問題が表面化したが、研究チームは「今回の分析が、VPN、SSHをはじめとするTLS通信に対し、どのようにNSAがアクセスしていたか、解明するのに役立つであろうと信じている」とコメントしている。

今回の脆弱性に関して、「Internet Explorer」「Firefox」「Chrome」「Safari」など主要ブラウザでは、いずれもすでに脆弱性の修正を終えているとしており、研究チームは最新版にアップデートされているか確認するようインターネット利用者へ求めている。

またウェブやメールなどのサーバ運営者に対しては、輸出レベルの暗号化スイートが利用されることを制限し、2048ビットの「Diffie-Hellman(DH)鍵交換プロトコル」を利用するよう推奨。「OpenSSH」については、「楕円曲線Diffie-Hellman鍵交換プロトコル」を利用する最新版へアップデートするよう呼びかけている。

(Security NEXT - 2015/05/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
メッセージ保護アプリ「TM SGNL」の複数脆弱性、悪用リストに追加
「NetScaler ADC」脆弱性、パッチ公開前から攻撃発生
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「Chrome」にゼロデイ脆弱性、アップデート公開 - 軽減策の実施も
特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開
「MS Edge」にアップデート - 固有の脆弱性などにも対処
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も