2014年10月に確認された「Secure Sockets Layer(SSL)」に存在する脆弱性「Padding Oracle On Downgraded Legacy Encryption(POODLE)」への修正プログラムは徐々に適用され始めています。トレンドマイクロは、12月、「Transport Layer Security(TLS)」の実装に、「POODLE」と同様の脆弱性が存在する可能性を確認しました。この脆弱性を利用した攻撃が行われると、TLS によって安全が確保された接続が、特定の条件で「Man-In-The-Middle(MitM、中間者)攻撃」に脆弱となり、暗号化されたトラフィックが攻撃者によって解読される可能性があります。
■「POODLE」はどのように TLS に影響を与えるか
最初に確認された脆弱性「POODLE」は、暗号を cipher-block chaining(CBC)モードで使用していた場合の SSL 3.0 のパディングされた情報の処理方法に存在しました。TLS 1.0 から 1.2 までの比較的新しいプロトコルには、この脆弱性は存在しないと考えられていました。
しかし、実装でコードが再利用される場合など、いくつかの条件で「POODLE」と似たような攻撃が TLSプロトコル上で実行される可能性があります。Google のセキュリティ専門家 Adam Langley氏は自身のブログで以下のように述べています。
これは、AEAD暗号スイートを使用する TLS 1.2 より前の全てのバージョンの暗号が破られたと主張を繰り返すのに良い機会だろう。RC4 を禁止する IETF の草稿は最終段階に来ているが、RC4 だけに問題があると考えるのは間違いだ。RC4 は根本的に破られており、それを救済する実装はないが、MtE-CBC暗号方式に対する攻撃のほうが、はるかに実践的であることは繰り返し証明されている。TLS 1.2 をサポートする Webサイトが12月時点でもうすぐ 50% に到達しそうなのが救いだ。
■どのように新しい「POODLE」を利用した攻撃が行われるか
この新しい「POODLE」を利用した攻撃は、初期の攻撃と似ているかもしれません。中間者攻撃により、攻撃者はこの脆弱性を利用して暗号化されたトラフィックを解読し、ユーザのトラフィックを読めるようになります。1文字を復号するためには、元の HTTPサーバに 256 のリクエストを送信します。つまり、8文字のパスワードを解読するためには、2,048 のリクエストが必要です。
この脆弱性には、共通脆弱性識別子「CVE-2014-8730」が割り当てられています。システム管理者は、より安全なプロトコルや暗号モード、アルゴリズムをサポートする TLS の設定に変更することを検討して下さい。エンドユーザは、Webサイトのセキュリティを確認するために、オンライン上のさまざまなテストツールを使用できます。
■トレンドマイクロの対策
この脆弱性は実装ではなくプロトコルに存在するため、直接的に適用できる修正プログラムがありません。F5 Network や A10 Networks のようなアプリケーション配信ネットワークは、自社製品の一部に本脆弱性が存在しており、すでに修正プログラムや回避策を公開したことが報告で確認されています。このように、脆弱性を抱えている場合は、各企業から提供された修正プログラムを適用するのが望ましいでしょう。
また、弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、この脆弱性を利用した攻撃から保護されます。
- 1006401 – Identified Too Many TLS Alert Messages In TLS Traffic
参考記事:
by Ziv Chang(Director, Cyber Safety Solution)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)