SENKUyouメール_vol032:SSLの脆弱性への攻撃と、その対応
2022/11/01 (Tue) 11:00
SSLの脆弱性への攻撃と、その対応 _ vol.032
URLが"HTTP "ではなく、"HTTPS "で開始されるウェブサイトが増えてきました。これらのサイトでは、SSL/TLSという仕組みを実装しています。
SSL/TLSは、暗号化およびハッシュ機構の組み合わせを使用しています。
暗号化とは、データをスクランブル化することで、許可された関係者だけが情報を理解できるようにする方法です。つまり、万全な状態で対応すれば、もし誰かがデータを傍受しても、そのデータを読むことも使うこともできません。
しかし、脆弱性への対応が不十分だと恐ろしい攻撃の対象になります。
今回は、SSL/TLSについて、よくある攻撃とその対策を紹介します。
■よくある攻撃(1)POODLE
2014年10月にSSLで保護されたサイトに対して成功したことが証明された最初の攻撃の1つ、「POODLE(プードル)」という攻撃タイプを最初に紹介します。
「POODLE」は、"Padding Oracle on Downgraded Legacy Encryption "の略称です。「POODLE」は、SSL3.0に存在する2つの欠陥を悪用した攻撃です。
1つ目の欠陥は、一部のサーバー/クライアントがまだSSL3.0をサポートしていること。
POODLE攻撃は、TLSによる安全な接続が失敗すると、一部のサーバーが安全性が低いSSL3.0にフォールバックする(性能の低い仕組みで代替する)ことを利用しています。
POODLE攻撃が利用している2つ目の欠陥は、SSL3.0がブロック暗号モードのパディングを処理する方法です。Cipher Block Chaining (CBC) モードを悪用する攻撃で、具体的には、ファイルを加工してサーバーの応答を見るだけで、暗号化されている内容が簡単に読み取られてしまいます。
有効な対策としては、SSL3.0を完全に無効化する、ブラウザ(クライアント)を最新版にアップグレードする、最新のTLSバージョンに更新、などが挙げられます。
■よくある攻撃(2)Heartbleed
次に紹介する「Heartbleed」は、OpenSSLライブラリのheartbeat拡張の実装の不備に起因する、重大な脆弱性です。
「Heartbleed」という脆弱性は、クライアントが誤ったデータ長を送信した場合、サーバーはクライアントが受信したデータと、クライアントが指定した長さの要件を満たすためにサーバーのメモリからランダムなデータで応答するという仕組みに起因していました。
つまり、意図的にデータの長さを変える細工をしてサーバーに送信したら、サーバー上のデータがその長さに合わせてランダムに盗まれてしまう、ということです。
この脆弱性が発見された当時、Heartbleedは恐ろしい被害をもたらしました。例えば、カナダ歳入庁(Canada Revenue Agency)への攻撃で、 数千人のカナダ国民の社会ID番号が盗まれました。
有効な対策は、OpenSSLの最新バージョンにアップデートすることです。
■まとめ
SSL/TLSは、データ漏洩やその他の攻撃からWebサイトを保護するのに役立ちます。しかし、サーバーの設定が不十分な場合、データが漏洩してしまう可能性があります。
SSL対応が、GoogleでWebサイトを上位に表示するSEOに役立つということはよく知られるようになってきました。このため、一部の企業や個人が、証明書を購入したり、無料のSSL証明書を使用したりすることが増えてきています。
その結果、不備が発生することも多く、時代遅れのSSL暗号化通信が使用され、セキュリティ上の問題も多く発生しています。
また、SSL/TLSの設定や証明書の管理、脆弱性に関する情報の収集や対応の負担を軽減するために、専門家にSSL/TLSアーキテクチャの管理・保守を依頼することをお勧めします。
先駆では、SSL取得・管理代行サービスも提供しています。
証明書には種類がありますが、用途に応じた適切な証明書の取得・設定のほか、更新などの管理の代行もいたします。
また、作業に伴い必要となる、CMSやサーチコンソール、Googleアナリティクスなどの諸設定・申請もあわせてご依頼頂けます。
以下のページからサービス詳細がご確認いただけます。ぜひご検討ください。
https://b.bme.jp/17/2798/236/XXXX
■━━━━━━━━━━━━━━━━━━■
【お気軽にご質問・ご相談ください】
「こんなことをしたいけれど先駆でお願いできる?」
「〇〇するために、うちの場合はいくらかかる?」
など、ちょっとした疑問・質問でも、プロとして責任もってお応えします。
もちろん、見積提示まで相談料など料金は一切発生しません。
ぜひ、お気軽にお問い合わせください
メールでのご相談:contact@senku.jp
フォームからのご相談:https://b.bme.jp/17/2798/237/XXXX
■━━━━━━━━━━━━━━━━━━■
<Senk you Mail 発行元情報>
会社名:株式会社先駆
住所:〒193-0801
東京都八王子市川口町1606番地
Tel:042-659-2960
E-mail:contact@senku.jp
Website:https://b.bme.jp/17/2798/238/XXXX
=============================
<本メールマガジンについて>
本メールは株式会社先駆の取引があるお客様、
弊社担当と名刺交換をさせていただいたお客様、
弊社へお問い合わせくださいましたお客様などに配信しております。
また、お預かりしております個人情報は、
個人情報保護関連法およびガイドラインに従い、
責任をもって管理致します。
https://b.bme.jp/17/2798/239/XXXX
=============================
配信停止を希望の方はこちらから可能です
https://b.bme.jp/17/2798/240/XXXX
=============================
copyright Senku Inc. All rights reserved.
URLが"HTTP "ではなく、"HTTPS "で開始されるウェブサイトが増えてきました。これらのサイトでは、SSL/TLSという仕組みを実装しています。
SSL/TLSは、暗号化およびハッシュ機構の組み合わせを使用しています。
暗号化とは、データをスクランブル化することで、許可された関係者だけが情報を理解できるようにする方法です。つまり、万全な状態で対応すれば、もし誰かがデータを傍受しても、そのデータを読むことも使うこともできません。
しかし、脆弱性への対応が不十分だと恐ろしい攻撃の対象になります。
今回は、SSL/TLSについて、よくある攻撃とその対策を紹介します。
■よくある攻撃(1)POODLE
2014年10月にSSLで保護されたサイトに対して成功したことが証明された最初の攻撃の1つ、「POODLE(プードル)」という攻撃タイプを最初に紹介します。
「POODLE」は、"Padding Oracle on Downgraded Legacy Encryption "の略称です。「POODLE」は、SSL3.0に存在する2つの欠陥を悪用した攻撃です。
1つ目の欠陥は、一部のサーバー/クライアントがまだSSL3.0をサポートしていること。
POODLE攻撃は、TLSによる安全な接続が失敗すると、一部のサーバーが安全性が低いSSL3.0にフォールバックする(性能の低い仕組みで代替する)ことを利用しています。
POODLE攻撃が利用している2つ目の欠陥は、SSL3.0がブロック暗号モードのパディングを処理する方法です。Cipher Block Chaining (CBC) モードを悪用する攻撃で、具体的には、ファイルを加工してサーバーの応答を見るだけで、暗号化されている内容が簡単に読み取られてしまいます。
有効な対策としては、SSL3.0を完全に無効化する、ブラウザ(クライアント)を最新版にアップグレードする、最新のTLSバージョンに更新、などが挙げられます。
■よくある攻撃(2)Heartbleed
次に紹介する「Heartbleed」は、OpenSSLライブラリのheartbeat拡張の実装の不備に起因する、重大な脆弱性です。
「Heartbleed」という脆弱性は、クライアントが誤ったデータ長を送信した場合、サーバーはクライアントが受信したデータと、クライアントが指定した長さの要件を満たすためにサーバーのメモリからランダムなデータで応答するという仕組みに起因していました。
つまり、意図的にデータの長さを変える細工をしてサーバーに送信したら、サーバー上のデータがその長さに合わせてランダムに盗まれてしまう、ということです。
この脆弱性が発見された当時、Heartbleedは恐ろしい被害をもたらしました。例えば、カナダ歳入庁(Canada Revenue Agency)への攻撃で、 数千人のカナダ国民の社会ID番号が盗まれました。
有効な対策は、OpenSSLの最新バージョンにアップデートすることです。
■まとめ
SSL/TLSは、データ漏洩やその他の攻撃からWebサイトを保護するのに役立ちます。しかし、サーバーの設定が不十分な場合、データが漏洩してしまう可能性があります。
SSL対応が、GoogleでWebサイトを上位に表示するSEOに役立つということはよく知られるようになってきました。このため、一部の企業や個人が、証明書を購入したり、無料のSSL証明書を使用したりすることが増えてきています。
その結果、不備が発生することも多く、時代遅れのSSL暗号化通信が使用され、セキュリティ上の問題も多く発生しています。
また、SSL/TLSの設定や証明書の管理、脆弱性に関する情報の収集や対応の負担を軽減するために、専門家にSSL/TLSアーキテクチャの管理・保守を依頼することをお勧めします。
先駆では、SSL取得・管理代行サービスも提供しています。
証明書には種類がありますが、用途に応じた適切な証明書の取得・設定のほか、更新などの管理の代行もいたします。
また、作業に伴い必要となる、CMSやサーチコンソール、Googleアナリティクスなどの諸設定・申請もあわせてご依頼頂けます。
以下のページからサービス詳細がご確認いただけます。ぜひご検討ください。
https://b.bme.jp/17/2798/236/XXXX
■━━━━━━━━━━━━━━━━━━■
【お気軽にご質問・ご相談ください】
「こんなことをしたいけれど先駆でお願いできる?」
「〇〇するために、うちの場合はいくらかかる?」
など、ちょっとした疑問・質問でも、プロとして責任もってお応えします。
もちろん、見積提示まで相談料など料金は一切発生しません。
ぜひ、お気軽にお問い合わせください
メールでのご相談:contact@senku.jp
フォームからのご相談:https://b.bme.jp/17/2798/237/XXXX
■━━━━━━━━━━━━━━━━━━■
<Senk you Mail 発行元情報>
会社名:株式会社先駆
住所:〒193-0801
東京都八王子市川口町1606番地
Tel:042-659-2960
E-mail:contact@senku.jp
Website:https://b.bme.jp/17/2798/238/XXXX
=============================
<本メールマガジンについて>
本メールは株式会社先駆の取引があるお客様、
弊社担当と名刺交換をさせていただいたお客様、
弊社へお問い合わせくださいましたお客様などに配信しております。
また、お預かりしております個人情報は、
個人情報保護関連法およびガイドラインに従い、
責任をもって管理致します。
https://b.bme.jp/17/2798/239/XXXX
=============================
配信停止を希望の方はこちらから可能です
https://b.bme.jp/17/2798/240/XXXX
=============================
copyright Senku Inc. All rights reserved.