2015年3月25日水曜日

スマホのアプリ、最新版への更新が必要、「FREAK」脆弱性で個人情報が盗まれる恐れ!


ショッピング・サイトなどをサクセスする際に使われている、通信の暗号化手段「TLS/SSL」に、脆弱性(通称「FREAK」)が見つかった問題、スマホのアプリに大きな影響があります。

最近、話題になっている、この「FREAK」脆弱性問題。複数のアプリに影響があり、アプリを最新版にしないと、個人情報が盗まれる恐れがあります。











 脆弱性(ぜいじゃくせい)とは、ソフトなどが持っている問題点のこと

この脆弱性(FREAK)を修正していないアプリを使うと、例えば、ショッピングアプリからユーザーのログイン情報やクレジットカード情報が盗まれたりする恐れがあります。

 スマホの複数アプリに、FREAKの脆弱性が修正されたものがあります

 スマホのアプリ、特に個人情報を扱うショッピングアプリを最新版に更新しましょう!


今回は、今後とも、話題になる、暗号化手段「TLS/SSL」、「FREAK」、「OpenSSL」、「中間者攻撃」についても簡単に紹介します。

攻撃者が「FREAK」の問題を悪用すれば、通信を行う二者の間に割り込んで、気付かれることなく盗聴したり、通信内容に介入したりする攻撃が可能です(中間者攻撃と言われています)。

なお、下記の記事によると、iOSとAndroid向けの多数のアプリに依然としてこの脆弱性が存在していることが分かったそうです。

 2015年03月19日
 AndroidとiOSアプリ、まだ多数に「FREAK」の脆弱性が存在 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1503/19/news055.html

 Android向けの人気アプリの11.2% 
 iOS向けの人気アプリ5.5%
 が、まだFREAK攻撃に対して脆弱な状態にあることが分かったそうです。



なお、スマホのアプリの脆弱性のもう一つの大きな問題として、多数のAndroidアプリにSSLサーバー証明書の検証不備があります。この脆弱性があると、通信内容が盗聴・改ざんされる可能性があります。

 スマホのソフトには脆弱性が潜んでいるので、スマホのOSやアプリは、
 常に最新版にすることが必要です。


下記の記事によると、AndroidアプリがSSLサーバー証明書を適切に検証していない場合、通信内容を盗聴したり改ざんする攻撃、つまり、中間者攻撃を防ぐことができず、攻撃者に通信の内容を盗聴または改ざんされる恐れがあります。

 2014/9/22
 多数のAndroidアプリにSSLサーバー証明書の検証不備、IPAが開発者に確認呼び掛け
  -INTERNET Watch
 http://internet.watch.impress.co.jp/docs/news/20140922_667983.html


■暗号化プロトコル「SSL/TLS」とは

「SSL/TLS」は、サイトをアクセスする際に、アクセスするデータを暗号化するためのしくみです。また,お互いが正しい通信相手であるか確認する機能もあります。

例えば,ショッピング・サイトに住所・氏名や,クレジットカードの番号を送る時などに,そのサイトが正しいかを確認して,データを暗号化して送信するということができます。

サイトをアクセスする際に「https」で始まるアドレスにアクセスすると,ブラウザによっては鍵のマークが出てきます。この鍵マークが「サーバーとクライアント間でやり取りするデータを,SSLあるいはTLSによって暗号化している」という意味です。


■「FREAK」の脆弱性とは

暗号化プロトコル「SSL/TLS」で、暗号強度が弱い「輸出向けの暗号」を使っている問題点が、「FREAK」の脆弱性で、簡単に中間者攻撃を受け、通信内容を盗聴されます。

1990 年代の米国政府の輸出規制により、輸出向けの暗号化ソフトウェアは米国内市場向けの暗号化ほど安全ではない、512 ビット以下の暗号化を使用するよう義務付けられていました。

この輸出規制自体はかなり以前に撤廃されましたが、「輸出仕様」の512 ビット以下の暗号化は存続したままです。

しかし、512 ビット暗号化の強度は、現在の基準では非常に弱いもので、わずか数時間で復号することが可能です。この、暗号強度が弱い「輸出向けの暗号」を使っていると、簡単に中間者攻撃を受け、通信内容を盗聴されます。

なお、暗号化の標準は、1024 ビット暗号化から、今は、はるかに安全な 2048 ビット暗号化に取って代わられています。詳しくは、下記を参照下さい。

参考:
FREAK 脆弱性により暗号化通信が攻撃を受ける恐れ | Symantec Connect コミュニティ
http://www.symantec.com/connect/ja/blogs/freak


■OpenSSLとは

暗号化プロトコル「SSL/TLS」を利用するための、だれでも自由に利用できる、オープンソースのライブラリ(プログラム部品)。

オープンソースソフトウェアとして公開されているため、誰でも自由に入手・利用することができ、プログラムに暗号通信機能を組み込む手段として様々なアプリで幅広く利用されている。

なお、OpenSSLの最新版は脆弱性(FREAK)の問題は解決済みなので、アプリは、この最新版を利用する必要があります。


■中間者攻撃(man-in-the-middle attack)とは

中間者攻撃(マン・イン・ザ・ミドル攻撃)とは、通信を行う二者の間に割り込んで、気付かれることなく通信する内容を盗聴したり、通信内容に介入したりする手法。

つまり、第三者(攻撃者)が通信の「中間」に入るという方法です。

 ・AさんがBに情報を送信する際、Cという犯罪者が間に入ります。
 ・AさんはBと通信しているつもりですが、実際には犯罪者Cと通信。
 ・BはAさんと通信しているつもりですが、実際には犯罪者Cと通信。

中間者攻撃自体は昔からある古典的な不正アクセス手法の一つで、暗号通信などを盗み読む目的で昔からネット犯罪に使われてきたものです。


参考:
 Man in the middle attack(中間者攻撃)とは : 増井技術士事務所
 http://masuipeo.com/tech/mitm.html