Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

多数のブラウザやSSL対応サイトが非推奨の暗号アルゴリズムを優先的に利用

金融系サイトをはじめ、多数サイトで強度面から非推奨とされる暗号アルゴリズムを、SSL接続で優先的に用いていることがわかった。なかでも「Windows XP」を用いた調査では、すべて非推奨のアルゴリズムにより接続されたという。

情報処理推進機構(IPA)が、主要ブラウザやSSLサーバにおけるSSLの設定や運用状況について、報告書を取りまとめたもの。調査は日本ネットワークセキュリティ協会(JNSA)が実施した。

通信の暗号化で利用されるSSLプロトコルは、電子商取引などにおいて安全性を確保する上で重要な機能。一方で、SSLサーバやブラウザは、汎用性や輸出規制に配慮して弱い暗号アルゴリズムを利用できるよう設計されており、使用アルゴリズムは設定に依存することから、2011年11月から2012年1月にかけて実態調査を行った。

具体的には、利用が想定される15種類のサーバ構成や38種類のクライアント環境について、SSLプロトコルに用いられる暗号アルゴリズムとハッシュアルゴリズムを組み合わせた「Cipher suite」の利用優先度を調査した。

各ブラウザでは、暗号強度が異なる「Cipher suite」を複数サポートしているが、OSやブラウザの種類によって優先順位が大きく異なることが調査で浮き彫りとなっている。

「Windows XP」の「IE」では、米国立標準技術研究所(NIST)や日本国内で暗号の安全性を評価するCRYPTRECが非推奨とする「TLS_RSA_WITH_RC4_128_MD5」の優先順位がもっとも高い。「Windows Vista」以降では、推奨アルゴリズム「TLS_RSA_WITH_AES_128_CBC_SHA」を最優先で利用するよう変更されている。

一方、「FireFox」では、「Windows」や「Mac OS X」「Ubuntu」といったOSに関わらず、「TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA」を優先して利用するよう設定されていた。また「Safari」などは、OSによって優先順位が異なる。

利用する暗号化アルゴリズムは、ブラウザ側による優先順位にくわえ、サーバ側の設定にも依存することから、今回の調査ではクライアントを用いて、オンラインショッピング、インターネットバンキング、ネットトレードなど、金融系、物販系、非物販系の3業界における300以上のSSLサーバを調べている。

金融系では「TLS_RSA_WITH_RC4_128_MD5(54.1%)」をはじめ、非推奨である暗号アルゴリズムおよびメッセージ認証が接続に利用されたケースが85.1%に達した。物販系(53.7%)、非物販系(47.5%)の割合も大きい。

各OSの環境を見ると、いずれも約6割が非推奨環境で接続されたが、特にWindows XP環境では非推奨の「Cipher suite」による接続率が高く、「IE」や「Safari」を利用した場合、すべて非推奨の「Cipher suite」による接続だった。

また「Android」や「iOS」など携帯デバイスにおける接続状況を見ると、スマートフォンやタブレット端末では、多く環境で50%以上が非推奨の「Cipher suite」で接続される状況で、「Android 2.3」では90%にのぼっている。

(Security NEXT - 2012/12/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

2023年の不正アクセス認知件数、前年比2.9倍に急増
警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
ランサムウェア「ALPHV」、医療分野中心に被害拡大
約596万人分の個人情報持出、NTTドコモらに行政指導 - 個情委
暗号資産交換業者への不正送金対策を強化 - 金融庁ら
国内クラウドサービス、海外に比べてセキュリティ対策に遅れ
暗号化データの分析技術を高速化、従来の1.6倍に - KDDI
リサイクルされる「ランサムウェア」 - リーク件数は1.5倍に
ランサムウェア感染組織の平均被害金額は2386万円 - JNSA調査
ランサム被害、中小企業が6割弱 - 暗号化しない脅迫も