Dark Reading

OpenSSLは、昨年発見された深刻な脆弱性「Heartbleed」に続き、2015年1月にも脆弱性「FREAK」が発見されたが、この脆弱性の危険性が明らかになったことを、The Washington Postなどの複数の米国メディアが伝えている。セキュリティ関連のニュースサイト「Dark Reading」に掲載された記事「FREAK Out: Yet Another New SSL/TLS Bug Found」が簡潔に内容を伝えている。「FREAK」は、OpenSSL 1.0.1kおよびこれよりも前のバージョンやAppleのSafariなどに存在していることが確認されているという。

Dard Readingに掲載された記事では、「FREAK」は最終的に中間者攻撃(man-in-the-middle attach)につながるものだと説明されている。中間者攻撃を実施された場合、HTTPS経由で通信していたとしても、クライアントとサーバの間の通信を傍受されることになり、認証データなどの機密性の高いデータを盗まれる危険性がある。

また、「FREAK」は米国当局が実施してきた暗号化技術の輸出規制に端を発しているとの説明もある。米国政府は過去に強度の高い暗号化技術を海外に輸出することを禁止していた。このため、オープンソース・ソフトウェアなどにおいても当時は配布物に強度の高い暗号化実装を含めないといった処置をとっていた。こうしたこともあり、強度の弱い暗号化技術の実装系が世界中で使われるようになったが、この当時のコードが「FREAK」につながっているとのことだ。

HTTPS Sites that support RSA Export Suites」に、「FREAK」の影響を受けるサーバの国別の割合が掲載されているが、日本は米国に次いで第2位となっており、弱い暗号化技術を使用する設定になっているサーバが存在していることがわかる。該当するソフトウェアのバージョンを使用している場合は、脆弱性が修正されたバージョンへアップグレードすることが推奨される。