FREAK についてまとめてみた (original) (raw)
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。
脆弱性評価
評価詳細
| 評価尺度 | NVD(CVE-2015-0204) | NVD(CVE-2015-1637) | JPCERT/CC(FreakAttack) |
|---|---|---|---|
| 攻撃元区分 | ネットワーク | ネットワーク | ネットワーク |
| 攻撃条件の複雑さ | 低い | 低い | 低い |
| 攻撃前認証要否 | 不要 | 不要 | 不要 |
| 機密性への影響 | 無し | 無し | 全面的 |
| 完全性への影響 | 部分的 | 部分的 | 無し |
| 可用性への影響 | 無し | 無し | 無し |
輸出グレード暗号をサポートしているか確認方法
輸出グレードRSA暗号をサポートするJPドメインのサイト
ミシガン大学の研究者が2015年3月3日1時(EST)時点で輸出グレード暗号をサポートするサイトを調査、その結果として輸出グレードRSA暗号のサイト一覧が掲載している。
以下はその内トップ1万のJPドメインのサイトを抜き出したもの。
| Alexa Rank | Domain | Address Tested | 輸出グレード暗号のサポート状況(3/5昼調査) | 輸出グレード暗号のサポート状況(3/10朝調査) |
|---|---|---|---|---|
| 519 | hatena.ne.jp | 59.106.194.19 | サポート中 | 対応済 |
| 2025 | ana.co.jp | 対応済? | − | |
| 2031 | suumo.jp | 160.17.3.13 | 対応済 | − |
| 2560 | ponparemall.com | 160.17.4.128 | 対応済 | − |
| 2853 | weathernews.jp | 211.8.49.106 | サポート中 | サポート中 |
| 3502 | jorudan.co.jp | サポート中 | サポート中 | |
| 4493 | recruit.co.jp | 160.17.7.22 | 対応済 | − |
| 4666 | shueisha.co.jp | 210.133.105.162 | 対応済 | − |
| 5546 | ponpare.jp | 160.17.13.128 | 対応済 | − |
| 6399 | dreammail.jp | 106.187.122.190 | サポート中 | サポート中 |
| 6427 | epson.co.jp | 203.179.25.109 | サポート中 | HTTPS停止? |
| 6822 | nissan.co.jp | 150.63.3.21 | サポート中 | サポート中 |
| 7108 | dip.jp | 61.197.187.238 | N/A | N/A |
| 7180 | cue-monitor.jp | サポート中 | サポート中 | |
| 7221 | 2nn.jp | 218.219.149.44 | サポート中 | 対応済 |
| 8095 | coocan.jp | 202.248.237.141 | サポート中 | サポート中 |
| 8727 | unext.jp | 125.63.43.78 | サポート中 | サポート済 |
| 9389 | hatelabo.jp | 59.106.194.34 | サポート中 | 対応済 |
| 9483 | ddo.jp | 219.94.135.204 | サポート中 | サポート中 |
| 9915 | belluna.jp | 23.13.174.254 | サポート中 | サポート中 |
以下はGO.JPドメインでリストに含まれていたもの。
| Alexa Rank | Domain | Address Tested | 輸出グレード暗号のサポート状況(3/10朝調査) |
|---|---|---|---|
| 14256 | ndl.go.jp | 118.151.177.22 | 対応済 |
| 727709 | youho.go.jp | 153.254.32.77 | サポート中 |
| 858129 | ncgmkohnodai.go.jp | 222.146.57.210 | サポート中 |
リスト掲載の内、JPドメインを抽出したものはこちらに掲載。
解決策
その他関連情報
- Akamai Akamai Addresses CVE 2015-0204 Vulnerability
- Redhat Factoring RSA export keys – FREAK (CVE-2015-0204)
- TrendMicro FREAK Vulnerability Forces Weaker Encryption
- Syamtec FREAK vulnerability can leave encrypted communications open to attack (和訳記事)
- ESET FREAK attack: security vulnerability breaks HTTPS protection
- JVN iPedia JVNDB-2015-001009 OpenSSL の s3_clnt.c の ssl3_get_key_exchange 関数における RSA-to-EXPORT_RSA ダウングレード攻撃を実行される脆弱性
- JVN JVNVU#98974537 OpenSSL に複数の脆弱性
- JVNVU#99125992 SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
謝辞
このまとめは次の方から頂いた情報を元に修正を行っています。
- @kitagawa_takujiさん