脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター:セキュリティクラスター まとめのまとめ 2015年5月版(1/3 ページ)
2015年5月は、三つの「名前付き」脆弱性が登場しました。が、その三つの名前を全部知っている方はどれくらいいますでしょうか? CTFの結果や新しいWeb技術の動向と併せてどうぞ。
2015年5月は、名前が付けられた脆弱性「VENOM」「Logjam」「BACKRONYM」がそれぞれ公表されました。セキュリティクラスターは連休だったからか、はたまたそれほど影響がないと考えたのか、いずれもこれまでのように大きな盛り上がりにはなりませんでした。
そして毎年恒例の「DEF CON」オンライン予選が開催され、セキュリティクラスターからもたくさんの人が参加して、開催の前後にはたくさんのツイートが投稿されます。そしてHTTP/2がRFC化されたこともあり、HTTP/2やHTTPS化していくことなど、これからのWeb技術についても多くのツイートが行われていました。
脆弱性、名前を付けただけではもう注目されない!?
2015年5月は、名前が付けられた脆弱性が3つ公表されました。
まず一番話題になったものが「VENOM」と名付けられた脆弱性で、2015年5月13日に特設Webサイトでその内容が大々的に公表されます。これは仮想OS環境で広く使われている「QEMU」のフロッピーディスクドライバーの脆弱性で、この脆弱性を突くことで任意のコードが実行できるということでした。
公表と同時期に公開されたPoC(Proof of Concept)は、仮想マシンからホストマシンをクラッシュさせることができるというもので、Twitterではたくさんの人がこのPoCを実行し、マシンをクラッシュできたというツイートが行われ、深刻さを感じさせます。
しかし、セキュリティパッチのコードやPoCのコードを読んだセキュリティクラスターが「本当に任意のコードが実行できるの?」と疑問を呈します。普通に考えると、さまざまな制約によってコードが実行できないというのです。結局、任意のコードが実行できるのかどうかはうやむやのまま、話題から消えていきます。
その「VENOM」がDEF CON予選開催を経て話題から消えそうになった5月20日に、また新たな脆弱性が公表されました。「Logjam」と名付けられたこの脆弱性は、2015年3月に発見された「FREAK」に似た、古い仕様に起因したものでした。
TLS通信でセキュアな接続を確立するための暗号アルゴリズム「Diffie-Hellman(DH)鍵交換」に脆弱性があり、この脆弱性を突くことで「FREAK」と同様、暗号強度を輸出グレードのものに格下げさせることができ、これによって中間者攻撃で暗号化されたはずの通信が解読されるというのです。
2015年3月に発見された脆弱性「FREAK」は実装の問題であったのに対して、「Logjam」はTLSプロトコル自体の脆弱性で、「DHE_EXPORT」をサポートしている多数のサーバーやブラウザーに影響があるようです。
ブラウザーが「Logjam」攻撃の影響を受けるかどうかは、「https://weakdh.org/」に行けば分かるということで、ここにアクセスして自分のブラウザーが影響を受けるか調べたというツイートが多く見られました。これによるとInternet Explorer(IE)は安全のようでしたが、その時点で最新だったFirefoxやChromeでは警告が表示されていたようです。
この脆弱性、「FREAK」よりも大きな影響がありそうなのですが、FREAKのときに対策がされていたからか、もしくは脆弱な設定のアプリケーションが少なかったからか、「FREAK」のときに比べてそれほど大騒ぎにはならず、セキュリティクラスターの数人が淡々と影響や対策を追いかけていたのみでした。
そしてさらにもう1つ、2015年5月1日に「BACKRONYM」と名付けられたMySQLサーバーの暗号に対する脆弱性が公表されています。まさに大型連休と重なったこともあったのか、はたまた影響を受けるサイトが少なかったからか、日本であまり話題にはなりませんでした。もはや、「名付けただけで脆弱性が話題になる時代」は終わってしまったのかもしれません。
Copyright © ITmedia, Inc. All Rights Reserved.