FREAK ("Factoring RSA Export Keys ")とはSSL/TLS の脆弱性を突いたセキュリティエクスプロイト である。アメリカ合衆国からの暗号の輸出規制 により導入された弱い暗号と、サーバ側・クライアント側の不適切な実装により、中間者攻撃 を成立させることができる。
経緯
TLSの前身となったSSLの開発当時には、アメリカからの暗号輸出には厳しい規制が課されており 、公開鍵暗号 であるRSA暗号 については512ビットの鍵長のものしか認められなかった。1990年代当時では、この強度の暗号はアメリカ国家安全保障局 (NSA)には解読可能で、その他の組織には解読不能であったが、コンピューターの性能向上、クラウドコンピューティング の一般化により、2015年時点では「50ドル、12時間程度」[ 1] で解読できる程度に脆弱なものとなっていた。2003年時点ですら「時代遅れ」とされていた[ 2] にもかかわらず、それから10年以上が過ぎてもなおサーバ側で輸出暗号を受け入れる設定のままとなっていたこと[ 3] 、さらには輸出用の暗号でないにもかかわらず、512ビット以下のRSA鍵を受け入れる実装となっていたクライアントが存在し[ 4] 、輸出暗号を使用しないクライアントに対しても中間者 が鍵交換に介入する余地を産んでしまった。2015年に発見されたエクスプロイトだが、既に1990年代から根本原因である脆弱性が存在していたとされる。
この欠陥はIMDEA (英語版 ) 、INRIA 、Microsoft Research の研究者が発見した[ 5] 。そしてこのFREAK攻撃はCVE識別子 でCVE-2015-0204と定義されている[ 6] 。
影響を受けるソフトウェアや端末にはApple のSafari 、Google のAndroid やOpenSSL が[ 5] [ 7] 、ウェブサイトではアメリカ合衆国連邦政府のウェブサイトであるfbi.gov、whitehouse.gov、nsa.govで[ 8] 、あるセキュリティ団体はエクスHTTPSを使用するウェブサイトの36%がエクスプロイトの影響を受けるとされるというテスト結果を公表した[ 9] 。IP2Location LITEを使った地点解析によれば影響を受けるサーバーの35%がアメリカ合衆国にあるとされる[ 10] 。
エクスプロイトに関するプレス発表ではこれに関する影響を「潜在的かつ壊滅的」[ 11] 並びにアメリカ合衆国からの暗号の輸出規制 による意図しない結果 (英語版 ) だとしている[ 8] 。
マイクロソフト もWindowsの全バージョンにおいてトランスポート層暗号化のSChannel 実装がFREAK攻撃の影響を受けると述べている[ 12] 。この問題のCVEIDはCVE-2015-1637である[ 13] 。
2015年3月 (2015-03 ) 現在 、関連企業各社はこの脆弱性を修正した新たなソフトウェアの公開準備を進めている[ 8] [ 9] 。ウェブブラウザでは、Google Chrome がバージョン41で、Opera がバージョン28でこの脆弱性に対処した[ 14] [ 15] 。OSでは、Microsoft Windows がサポート継続中であるServer 2003 およびVista 以降において[ 16] 、Apple では同じくサポート継続中であるOS X 10.8 以降[ 17] およびiOS 8[ 18] において対処済みである。Mozilla Firefox はこの脆弱性の影響を受けない[ 14] 。
技術的な詳細
サーバー、クライアント共に一時鍵によるRSA暗号を受け入れる場合に、もっと強い暗号を使える状況であっても一時鍵を解読できる中間者が512ビットRSAでの通信を強制できるダウングレード攻撃は、すでに1998年 には報告がなされていた[ 2] 。
クライアントからの接続要求を中間者が書き換え、要求する暗号を輸出暗号のみにする。
サーバは512ビットの鍵と、これからの暗号通信の鍵を生成するための素材を中間者へと返す。
中間者では解読済みの鍵を使って鍵の素材を得て、サーバ・クライアントの両者に対して正しく鍵交換が成立したことを装う。
接続が成立してしまえば、中間者は手元にある鍵の素材を使って通信の復号・改竄が可能となる。
FREAKでは、クライアントが要求する暗号には輸出暗号が含まれていないが、中間者がそれのみを要求するように書き換え、さらにはクライアント側が輸出暗号の一時鍵を受け入れてしまう という実装の隙を突いて、中間者攻撃を成立させている。
関連項目
脚注
^ “暗号化通信に脆弱性「FREAK」が判明 - 盗聴や改ざんのおそれ ” (2015年3月4日). 2015年3月9日 閲覧。
^ a b Eric Rescorla 著、齋藤孝道、古森貞、鬼頭利之 訳『マスタリングTCP/IP SSL/TLS編』オーム社、2003年、191-192頁。ISBN 978-4274065422 。
^ “SSLの深刻な脆弱性「FREAK」が明らかに--ウェブサイトの3分の1に影響か ”. ZDNet Japan. p. 1 (2015年3月4日). 2015年3月9日 閲覧。
^ “JVNVU#99125992 SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃) ”. JVN (2015年3月9日). 2015年3月9日 閲覧。
^ a b Steven J. Vaughan-Nichols (2015-03-03), FREAK: Another day, another serious SSL security hole , ZDNet, http://www.zdnet.com/article/freak-another-day-another-serious-ssl-security-hole/
^ Vulnerability Summary for CVE-2015-0204 , NIST, (20 February 2015), http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
^ Thomas Fox-Brewster (2015-03-03), What The FREAK? Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability , Forbes, http://www.forbes.com/sites/thomasbrewster/2015/03/03/freak-flaw-hits-android-and-iphone-users/
^ a b c Craig Timberg (2015-03-03), ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover , Washington Post, http://www.washingtonpost.com/blogs/the-switch/wp/2015/03/03/freak-flaw-undermines-security-for-apple-and-google-users-researchers-discover/
^ a b Dennis Fisher (2015-03-03), New FREAK Attack Threatens Many SSL Clients , Threatpost, https://threatpost.com/new-freak-attack-threatens-many-ssl-clients/111390
^ FREAK Servers By Country , (2015-03-03), https://infogr.am/https_sites_that_support_rsa_export_suites
^ Dan Goodin (3 March 2015), "FREAK" flaw in Android and Apple devices cripples HTTPS crypto protection , Ars Technica, http://arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devices-cripples-https-crypto-protection/
^ Darren Pauli (6 March 2015), All Microsoft Windows versions are vulnerable to FREAK , The Register, http://www.theregister.co.uk/2015/03/06/all_microsoft_windows_versions_vulnerable_to_freak/
^ Microsoft Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass , Microsoft, (March 5, 2015), https://technet.microsoft.com/en-us/library/security/3046015
^ a b “Tracking the FREAK Attack ”. 2015年3月12日 閲覧。
^ “FREAK: Factoring RSA Export Keys ”. 2015年3月12日 閲覧。
^ “Schannel の脆弱性により、セキュリティ機能のバイパスが起こる (3046049) ” (2015年3月11日). 2015年3月12日 閲覧。
^ “About Security Update 2015-002 ”. 2015年3月12日 閲覧。
^ “About the security content of iOS 8.2 ”. 2015年3月12日 閲覧。
外部リンク