何と悲惨なことだ。
SecureSocketLayer(SSL)とTransportLayerSecurity(TLS)のセキュリティホールである
「FREAK」が存在するのは、AppleのSSL実装や古いOpenSSLを使用するプログラムだけではない。
Microsoftの「SecureChannel」(「SChannel」)スタックにも存在することが明らかになった。
セキュリティに関する約20年前の誤った決定が原因で
FREAKを悪用すれば中間者攻撃の実行が可能になる。
Avectoのコンサルタンシー&テクノロジサービス担当エグゼクティブバイスプレジデント(EVP)
を務めるAndrewAvanessian氏は、電子メールで筆者に次のように語った。
「FREAK攻撃は、セキュリティの問題がどれほど遠い過去から尾を引いているかを示す明白な証拠だ。
新しいテクノロジが登場し、暗号技術が強固になっても
多くの場合、単に新しいソリューションが付け足されるだけで
古い脆弱なテクノロジが取り除かれることはない。
そのため、構築しようとしているセキュリティモデルが事実上、弱体化してしまう」
ユーザーにできること
自宅でセキュリティ対策を実施している人のために紹介しておくと
FREAKを突かれて攻撃される可能性のある現行プログラムの最新リストには
「WindowsVista」「Windows7」「Windows8」「Windows8.1」
「WindowsServer2003」にインストールされた「InternetExplorer」(IE)など
SSL/TLSを使うMicrosoftのすべてのプログラムが含まれる。
Microsoftは言及していないが、「WindowsXP」など
広範なサポートが終了しているOSも影響を受けると考えていいだろう。
「WindowsServer2008」と「WindowsServer2012」も
サーバではなくデスクトップとして使用する場合は、攻撃を受けるおそれがある。
サーバとして使用する場合は、FREAKの弱点である
古い輸出用のSSL暗号がサポートされないため、デフォルト設定で安全だ。
ただし、Server2003はこれらの脆弱なSSL暗号鍵をサポートしており、それを無効にする方法はない。
さらに、この年季が入ったFREAKセキュリティホールを最初に発見したmiTLSチームによると
以下のSSL/TLSクライアントライブラリが影響を受けるという。