TLS/SSLの脆弱性を悪用する新たな攻撃方法、MSがアドバイザリを公開


 マイクロソフトは27日、SSL/TLSの脆弱性に関するセキュリティアドバイザリを公開した。

 この問題は、SSL 3.0およびTLS 1.0に存在する脆弱性について、新たな攻撃方法が研究者によって公開されたもの。脆弱性が悪用された場合、暗号化されたSSL/TLSトラフィックが解読される可能性がある。脆弱性はプロトコル自体に存在するもので、Internet Explorerなどマイクロソフト製品だけでなく、SSL 3.0/TLS 1.0を実装しているほとんどのソフトウェアベンダーがこの脆弱性の影響を受ける。

 マイクロソフトでは、この攻撃手法ではブラウザーが主要な攻撃経路となり、攻撃が成功するためには数百ものHTTPSリクエストを作成する必要があると説明。回避策としては、この脆弱性が修正されているTLS 1.1またはTLS 1.2を利用する方法や、脆弱性の影響を受けないRC4アルゴリズムを優先して通信する方法などを挙げている。


関連情報

(三柳 英樹)

2011/9/27 13:34