ニュース

TLSに新たな脆弱性「Logjam」、多数のサーバーや主要ブラウザーに影響

 HTTPSやSSHで用いられるTLSプロトコルに、新たな脆弱性「Logjam」が発見された。問題を報告した研究者チームでは、多数のサーバーやウェブブラウザーに影響が及ぶ脆弱性だとして、設定の変更やアップデートを呼び掛けている。

「Logjam」脆弱性を報告した研究者チームのサイト。アクセスしたブラウザーが脆弱性の影響を受ける場合は警告が表示される

 脆弱性は、暗号鍵を共有するためのDiffie-Hellman(DH)鍵交換に存在し、中間者攻撃によりTLS接続が暗号強度の低い輸出グレードの512ビット暗号に格下げされることで、攻撃者により通信内容の盗聴や改ざんを許すことになるもの。

 3月に発見された脆弱性「FREAK」と同様の問題だが、FREAKは実装の問題であったのに対し、LogjamはTLSプロトコル自体の脆弱性で、「DHE_EXPORT」をサポートしている多数のサーバーや、すべてのモダンブラウザーに影響があるとしている。研究者チームの調査によれば、HTTPS通信の上位100万ドメインのうち8.4%にこの脆弱性の影響があったという。

 研究者グループでは、Logjam脆弱性に関するサイトを開設しており、サーバー管理者に対して輸出暗号スイートのサポートを無効にするなどの対処法を紹介している。

 ウェブブラウザーについては、Google Chrome、Firefox、Internet Explorer、Safariなどの主要ブラウザーが、Logjam脆弱性を修正するための作業を進めており、最新版が提供された場合にはアップデートすることを勧めている。また、研究者グループのサイトにアクセスすると、Logjam脆弱性の影響を受けるかどうかが表示されるようになっている。

(三柳 英樹)