【更新】深刻な脆弱性「DROWN」 - SSLv2利用サーバで暗号化通信が盗聴されるおそれ

SSLv2におけるハンドシェイク時のデータを解析することで、暗号化されたネットワークトラフィックの解読が可能となる脆弱性「CVE-2016-0800」が判明した。多くのサーバが影響を受けるとし、研究者やセキュリティ機関が注意を呼びかけている。
同脆弱性を発表した研究者は、「Decrypting RSA with Obsolete and Weakened eNcryption」から「DROWN」と命名。解読エラーを利用して暗号を解読するパディングオラクル攻撃の一種だという。1000回のハンドシェイクデータがあれば、攻撃が成立するとされており、クラウドを用いて計算を行った場合、約440米ドルで8時間以内に解析できるとしている。
研究者は、人気サイトを含め、多くのサーバがSSLv2に対応しており、影響を受けると指摘。インターネットに対してスキャンを行ったところ、3月1日の時点でHTTPS接続を行う33%が影響を受けていたという。
脆弱性を公表した研究者やセキュリティ機関では、ネットワーク管理者に対して、SSLv2のサポートを無効化するよう呼びかけている。OpenSSLでは、脆弱性を修正した「同1.0.2g」「同1.0.1s」をリリースした。
研究者は、今回の脆弱性によりサーバの秘密鍵を取得される可能性はないと説明。またSSLv2を無効化すれば、あらたなサーバ証明書を取得しなおす必要はないとしている。
(Security NEXT - 2016/03/02 )
ツイート
関連リンク
PR
関連記事
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
先週注目された記事(2026年6月21日〜2026年6月27日)
「FortiOS」の「SSL VPN」脆弱性に関するアドバイザリを更新
「Webmin」に認証バイパスなど複数の脆弱性 - 最新版で修正
「OpenSSL」にセキュリティアップデート - 脆弱性18件を修正
Check Pointのレガシー構成VPNにゼロデイ脆弱性 - 5月初旬より悪用
F5が四半期アドバイザリ、「BIG-IP」関連に多数脆弱性
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ
