SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃) (original) (raw)

公開日:2015/03/09 最終更新日:2020/12/22

JVNVU#99125992

SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)

概要

SSL/TLS の実装の中には、意図して設定しなくても輸出グレード (512 ビット以下) の RSA 鍵を受け入れるものが存在します。このようなソフトウエアに対して中間者攻撃 (man-in-the-middle attack) が行われると、暗号化に使われている鍵を解読され、SSL/TLS トラフィックの内容を復号される可能性があります。これは「FREAK 攻撃」とも呼ばれています。

影響を受けるシステム

詳細情報

アルゴリズムのダウングレード (CWE-757)
不適切な暗号強度 (CWE-326)

SSL/TLS の実装の中には、意図して設定しなくても輸出グレード (512 ビット以下) の RSA 鍵を受け入れるものが存在します。このようなソフトウエアに対して中間者攻撃が行われた場合、通信開始時のネゴシエーションにおいて弱い鍵を使うように誘導され、結果として、暗号化された情報を復号される可能性があります。

発見者は、本件に関する詳細情報を公開しています。

想定される影響

中間者攻撃 (man-in-the-middle attack) により、SSL/TLS 通信の内容を復号される可能性があります。

対策方法

使用している SSL/TLS ライブラリやアプリケーションをアップデートする
開発者が提供する情報や CERT/CC Vulnerability Note VU#243585 の Vendor Information に掲載されている情報を参考に、ソフトウエアをアップデートしてください。

輸出グレードの暗号を使用しない
ソフトウエアの設定で、輸出グレードの暗号を使用しない設定に変更してください。

ベンダ情報

ベンダ ステータス ステータス最終更新日 ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2016/09/29
ジェイティ エンジニアリング株式会社 該当製品無し 2015/03/10
ビー・ユー・ジー森精機株式会社 該当製品無し 2015/03/18
日本電気株式会社 該当製品あり 2020/12/22

参考情報

  1. CERT/CC Vulnerability Note VU#243585
    SSL/TLS implementations accept export-grade RSA keys (FREAK attack)
  2. State Machine AttACKs against TLS (SMACK TLS)
    FREAK: Factoring RSA Export Keys

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v2 AV:N/AC:L/Au:N/C:C/I:N/A:N

攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

| JPCERT 緊急報告 | | | ------------- | | | JPCERT REPORT | | | CERT Advisory | | | CPNI Advisory | | | TRnotes | | | CVE | | | JVN iPedia | |

更新履歴

2015/03/10

ジェイティ エンジニアリング株式会社のベンダステータスが更新されました

2015/03/18

ビー・ユー・ジー森精機株式会社のベンダステータスが更新されました

2015/06/02

アライドテレシス株式会社のベンダステータスが更新されました

2015/10/22

日本電気株式会社のベンダステータスが更新されました

2015/10/30

日本電気株式会社のベンダステータスが更新されました

2015/11/26

日本電気株式会社のベンダステータスが更新されました

2015/12/07

日本電気株式会社のベンダステータスが更新されました

2015/12/22

日本電気株式会社のベンダステータスが更新されました

2016/01/21

日本電気株式会社のベンダステータスが更新されました

2016/03/02

日本電気株式会社のベンダステータスが更新されました

2016/06/21

日本電気株式会社のベンダステータスが更新されました

2016/07/12

日本電気株式会社のベンダステータスが更新されました

2016/09/15

日本電気株式会社のベンダステータスが更新されました

2016/09/30

アライドテレシス株式会社のベンダステータスが更新されました

2017/03/09

日本電気株式会社のベンダステータスが更新されました

2020/12/22

日本電気株式会社のベンダステータスが更新されました