[English]

最終更新日: Mon, 16 Jun 2014 18:21:23 +0900

CCS Injection Vulnerability

概要

OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。

対策

各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新)

原因

OpenSSLのChangeCipherSpecメッセージの処理に発見された欠陥により、第三者が通信に介在することが可能であることを確認しました。 そのためOpenSSLに第三者が知ることのできる弱い鍵を使用させることができます。 今回発見された脆弱性により、これにより修正前のバージョンのOpenSSLを使用して通信の保護を実施していたウェブの閲覧、電子メールの送受信、VPNといったソフトウェアには通信内容や認証情報などを詐取・改竄される危険性があります。

Q&A

分かり易く説明するとどのような脆弱性ですか?

通信開始手順の途中で不正な信号を送ると、該当する通信で使われる一時的な暗号鍵が、第三者でも予想できてしまうという脆弱性です。 暗号鍵がわかると通信を盗み見られたり、なりすまされたりする危険があります。

どのバージョンが影響を受けますか?

以下のバージョンにバグが存在します。

以下のバージョンではバグが修正されています。

今回のOpenSSLの更新では、7つの脆弱性が修正されています。そのうちのひとつ(CVE-2014-0224)を当社が発見しました。

具体的にどのような被害が生じる可能性がありますか?

攻撃者によって通信が盗聴・改竄されていることは被害者・サーバーにはわかりません。安全な通信だと思ってクレジットカード番号、パスワードなどを送信すると、それらの情報を攻撃者に入手され悪用されてしまう危険があります。攻撃者が通信内容の改竄を行った場合、被害者の情報を使って不正な送金・購入などが行われる危険があります。

どのような対応をすればいいですか?

ベンダーから提供される更新を適用しましょう。AndroidやLinuxではOpenSSLが使われているため、更新を適用する必要があります。Windows, Mac, iPhoneの標準アプリではOpenSSLを使っていないので、今回の脆弱性に由来する危険はありません。

攻撃者は被害者とサーバーの間で通信を中継する装置の振りをして、通信の盗聴・改竄・乗っ取りを行います。 公衆無線LANホットスポットがこのような中間者攻撃の場として使われる危険が高いです(通常は通信経路に割り込むことができない)。 インターネットバンキング、ネットショッピングなどを利用する際は、公衆Wifiを避け、3GやLTE、その他信頼できるネットワークを使うとよいでしょう。

どのような攻撃が行われる恐れがありますか?

クライアントとサーバがともにバグが存在するバージョンで、サーバがバージョン1.0.1以降の場合に、通信の盗聴・改竄を行う攻撃が行われる恐れがあります。

サーバだけがバグの存在するバージョンの場合は、クライアントの偽装を行う攻撃が行われる恐れがあります。

クライアントの偽装とは具体的にどのようなことですか?

正規クライアントには正常にSSL Connectionが確立しなかったように見せかけ、攻撃者はサーバー側と通信を続けます。サーバーにはSSL Connectionが確立できたように思わせ、被害者のクライアントになりすまします。クライアント証明書を利用するようなケースでは、認証済セッションをハイジャックされる危険性があります。この攻撃はクライアントがOpenSSL以外でも成立する恐れがあります。

Adam Langleyさんの分析IIJさんの検証の結果、クライアント証明書を利用したケースではセッションが切断され、攻撃者による通信が続かないことがわかりました。

秘密鍵を再生成し、証明書を再発行する必要はありますか?

この脆弱性を悪用したとしても、秘密鍵を盗み出すことはできません。しかし、一度でもOpenSSLのSSL/TLSで保護された経路で秘密鍵を転送したことがある場合は慎重に考慮してください。

SSL/TLSのプロトコル設計の問題ですか?

いいえ。実装の問題です。

どのプロトコルが影響をうけますか?

SSL3.0, TLS1.0, TLS1.1, TLS1.2 のすべてが影響をうけます。

どの暗号アルゴリズムが影響を受けますか?

全ての暗号アルゴリズムが影響を受けます。

過去に攻撃を受けた形跡を確認することはできますか?

OpenSSLを使っていた場合は何の形跡も残らないため、おそらく確認することはできません。

IDS等で検知することは可能ですか?

通常と異なるタイミングで送信されるChangeCipherSpecパケットを検知するよう構成すれば、検知できると思われます。

どのようにして発見されましたか?

レピダムの菊池がCoqを用いたTLSの安全な実装の研究中に発見しました。

脆弱性の報告経緯は?

脆弱性の発見後、JPCERTおよびCERTに対して報告を行いました。JPCERTにより早期警戒パートナーシップを通じた告知が行われました。OpenSSL開発者への通知はJPCERTおよびCERTが行いました。不具合修正パッチの開発では、OpenSSL開発者からコンタクトがあり、当社が協力しています。

レピダムはセキュリティー研究機関ですか?

ネットワーク技術・セキュリティー技術・デジタルアイデンティティー技術を中心とした研究開発・受託開発・コンサルティングを行っている民間企業です。

参照

CCS-InjectionのロゴはCC0で公開されます。SVGフォーマットでダウンロード

更新履歴