MS、「MS-CHAP v2」認証の脆弱性についてセキュリティアドバイザリを公開


 日本マイクロソフト株式会社は21日、VPN接続に用いられるプロトコル「MS-CHAP v2」の既知の脆弱性に対する詳細な悪用コードが公開されているとして、セキュリティアドバイザリを公開した。現時点では攻撃は確認されていないが、マイクロソフトでは状況を監視し、情報を提供していくとしている。

 この問題は、MS-CHAP v2認証のやり取りを第三者が解析することで、情報漏えいが発生する可能性があるもの。VPNにおいて、PPTP接続でMS-CHAP v2認証を追加の拡張プロトコル(PEAP)を伴わずに単体で利用している場合に影響があり、脆弱性が悪用された場合、攻撃者にユーザー資格情報を取得される可能性がある。

 マイクロソフトではこの問題への対策として、PEAPを併用することや、その他の接続タイプであるL2TP、SSTP、IKEv2を利用することを推奨している。


関連情報

(三柳 英樹)

2012/8/21 14:03