SSL/TLSの脆弱性を突いて、暗号化された通信を解読する方法が一般に公開されたことを受け、マイクロソフトは27日、セキュリティアドバイザリを公開した。
SSL(Secure Sockets Layer)/TLS(Transport Layer Security)は、Webサイトなどで用いられている暗号化通信技術のこと。SSL 3.0をベースに標準化された規格がTLS 1.0で、両者は厳密には異なる規格だが、ユーザーがこれらを意識する必要は特になく、SSLの名で両者が総称されることも多い。
今回見つかった脆弱性は、SSL 3.0/TLS 1.0に存在する問題で、Webサーバーとユーザー間の通信に割り込む中間者攻撃を仕掛けるなどし、一定の条件を満たすと、暗号化された通信を解読することができるという。
当面の回避策として、同社は影響を受けないTLS 1.1/1.2の使用や、攻撃成立の必要条件のひとつであるスクリプトの無効化を挙げている。
TLS 1.1/1.2は、Windows 7上のInternet Explorer(IE)でサポートされており、「ツール」メニューの「インターネット オプション」で設定できるほか、下記のサポート技術情報のページで、自動設定用の「Fix It」が提供されている。スクリプトの無効化は、同じ「インターネット オプション」で、セキュリティゾーンごとに設定できる。簡単な設定方法は、ゾーンのレベルを「高」にすればよい。
なお、この脆弱性は同社の製品だけでなく、SSL/TLSを使用する全ての製品にも影響があるが、現時点でTLS 1.1/1.2をサポートする製品は少なく、回避策をとれないケースが多い。先のIEのほかにはOperaがサポートしており、今月1日にリリースされた「Opera 11.51」でこの脆弱性に対処している。
(2011/09/27 ネットセキュリティニュース)
【関連URL】
・セキュリティアドバイザリ(2588513):SSL/TLS の脆弱性により、情報漏えいが起こる(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/advisory/2588513
・サポート技術情報(2588513)(マイクロソフト)
http://support.microsoft.com/kb/2588513