Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

多数のブラウザやSSL対応サイトが非推奨の暗号アルゴリズムを優先的に利用

金融系サイトをはじめ、多数サイトで強度面から非推奨とされる暗号アルゴリズムを、SSL接続で優先的に用いていることがわかった。なかでも「Windows XP」を用いた調査では、すべて非推奨のアルゴリズムにより接続されたという。

情報処理推進機構(IPA)が、主要ブラウザやSSLサーバにおけるSSLの設定や運用状況について、報告書を取りまとめたもの。調査は日本ネットワークセキュリティ協会(JNSA)が実施した。

通信の暗号化で利用されるSSLプロトコルは、電子商取引などにおいて安全性を確保する上で重要な機能。一方で、SSLサーバやブラウザは、汎用性や輸出規制に配慮して弱い暗号アルゴリズムを利用できるよう設計されており、使用アルゴリズムは設定に依存することから、2011年11月から2012年1月にかけて実態調査を行った。

具体的には、利用が想定される15種類のサーバ構成や38種類のクライアント環境について、SSLプロトコルに用いられる暗号アルゴリズムとハッシュアルゴリズムを組み合わせた「Cipher suite」の利用優先度を調査した。

各ブラウザでは、暗号強度が異なる「Cipher suite」を複数サポートしているが、OSやブラウザの種類によって優先順位が大きく異なることが調査で浮き彫りとなっている。

「Windows XP」の「IE」では、米国立標準技術研究所(NIST)や日本国内で暗号の安全性を評価するCRYPTRECが非推奨とする「TLS_RSA_WITH_RC4_128_MD5」の優先順位がもっとも高い。「Windows Vista」以降では、推奨アルゴリズム「TLS_RSA_WITH_AES_128_CBC_SHA」を最優先で利用するよう変更されている。

一方、「FireFox」では、「Windows」や「Mac OS X」「Ubuntu」といったOSに関わらず、「TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA」を優先して利用するよう設定されていた。また「Safari」などは、OSによって優先順位が異なる。

利用する暗号化アルゴリズムは、ブラウザ側による優先順位にくわえ、サーバ側の設定にも依存することから、今回の調査ではクライアントを用いて、オンラインショッピング、インターネットバンキング、ネットトレードなど、金融系、物販系、非物販系の3業界における300以上のSSLサーバを調べている。

金融系では「TLS_RSA_WITH_RC4_128_MD5(54.1%)」をはじめ、非推奨である暗号アルゴリズムおよびメッセージ認証が接続に利用されたケースが85.1%に達した。物販系(53.7%)、非物販系(47.5%)の割合も大きい。

各OSの環境を見ると、いずれも約6割が非推奨環境で接続されたが、特にWindows XP環境では非推奨の「Cipher suite」による接続率が高く、「IE」や「Safari」を利用した場合、すべて非推奨の「Cipher suite」による接続だった。

また「Android」や「iOS」など携帯デバイスにおける接続状況を見ると、スマートフォンやタブレット端末では、多く環境で50%以上が非推奨の「Cipher suite」で接続される状況で、「Android 2.3」では90%にのぼっている。

(Security NEXT - 2012/12/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

凸版印刷とNICT、「耐量子 - 公開鍵暗号」の技術確立で共同研究
フィッシングで悪用されたブランド数が過去最多 - 報告やURLも大幅増
フィッシングURL、前月比22.9%減 - 報告は4カ月連続で3万件超
秘密計算技術で研究会、安全性基準など検討 - NECら
3月に「JC3 Forum 2021」開催 - サイバー犯罪動向や対応成功事例など紹介
米NSA、脆弱なTLS構成の利用排除を要請
NRIセキュア、CTFイベント「NetWars」を2月に開催 - 社会人も参加可
経産省、経営者に向けて注意喚起 - サイバー攻撃対策へ一層の関与を
コロナ禍ではじめて迎える冬期長期休暇 - あらためてセキュ対策の確認を
ランサムウェアからソフトウェア開発企業を守る10カ条 - CSAJ