ニュース

NICT、SSLの脆弱性検証システム「XPIA」開発、危険なサーバーの分布を把握

 独立行政法人情報通信研究機構(NICT)は22日、2012年に報告されたSSLの脆弱性を検証するシステム「XPIA」を構築し、現在危険な状態にあるSSLサーバーの分布状況を把握することに成功したと発表した。

 SSLでは、通信相手のサーバーが本物であるかどうかの確認などに、公開鍵暗号のRSAを利用している。このRSAの鍵生成時に、利用する乱数の偏りなどが原因で、同じ秘密鍵(素数)を含む公開鍵が多数生成されていることが、2012年に研究者によって報告された。2つの公開鍵が同じ秘密鍵(素数)を利用していた場合、最大公約数を求めることで簡単に秘密鍵を暴くことが可能となり、SSLサーバー証明書などの偽造が可能となる。

 NICTでは、この脆弱性を検証するシステム「XPIA」を開発。インターネット上で公開されているSSLサーバーの公開鍵証明書から抽出したRSA公開鍵の脆弱性を検証した。脆弱性の報告時点では、世界中のSSLサーバーの0.4%にあたる2万台以上が危険な状態にあるとされていたが、今回NICTが行った調査では、少なくとも世界中で2600台を超えるSSLサーバーが、現在でも脆弱な公開鍵を利用していることを確認した。

 また、今回の調査の範囲内では、脆弱性な公開鍵を利用しているインターネットバンキングやオンラインショッピングなどのサイトは見つからなかったという。

 NICTでは、XPIAを活用してSSLに対する新しい脅威を解析していくほか、RSAの公開鍵の生成法など、ネットワーク上での安全な通信を確保するための研究開発を進めていくとしている。

(三柳 英樹)