今、話題のSSL/TLSの脆弱性「FREAK」、「SSL/TLS」はインターネットの通信を暗号化し、サイトが信頼できるかを確認する技術です。
この大事な技術「SSL/TLS」に脆弱性(不具合)があり、悪用することで、強度の低い暗号を強制的に使用させ、これにより暗号が解読されてしまう恐れがあります。*この脆弱性が「FREAK」と呼ばれています。
この問題は、パソコンの全ブラウザに関係します。
使っているブラウザがFREAK脆弱性に対応しているか確認して下さい。なお、対応していない場合は、最新版に更新して、再度確認してください。
この「SSL/TLS」は全てのブラウザで使用されており、もし、この脆弱性(不具合)をそのままにしておくと、ショッピング・サイト、インターネット・バンキング、Webサービスなどの、ID・パスワードなどの重要な個人情報が盗まれる危険性があります。
SSL/TLSの脆弱性「FREAK」、インターネット通信が解読され、個人情報が盗まれる危険性!
全てのブラウザに影響、ブラウザを最新版に!
最新版に更新しても、ブラウザがFREAK脆弱性に対応していない場合は、
他のブラウザを使用しましょう!!
パソコンのブラウザがFREAK脆弱性に対応しているか確認する方法を次に紹介しますが、私は、この方法で、IE11、Firefox、Chrome、Operaのブラウザを確認し、全て、FREAK脆弱性に対応してOKでした。これらのブラウザ、最新版では大丈夫なようです。
なお、スマホの多くのアプリにもFREAK脆弱性があります。スマホのアプリも最新版に更新して下さい。また、スマホのアプリの問題は、以下を参照下さい。
スマホのアプリ、最新版への更新が必要
http://lifesecurityup.blogspot.jp/2015/03/freak.html
■パソコンのブラウザがFREAK脆弱性に対応しているか確認する方法
以下のサイトの情報をもとに確認方法を紹介します。
サーバやブラウザがFREAK脆弱性(CVE-2015-0204)に対応しているか確かめる方法。
http://applech2.com/archives/43653159.html
なお、確認した結果、ブラウザがFREAK脆弱性に対応していない場合は、すぐにブラウザを最新版に更新してください。
万が一、最新版に更新しても、ブラウザがFREAK脆弱性に対応していない場合は、他のブラウザを使用することをお勧めします。
[ブラウザがFREAK脆弱性に対応しているか確認する方法]
①各ブラウザでFREAK脆弱性のチェックサイト"freakattack.com"にアクセス
Tracking the FREAK Attack
https://freakattack.com/
②"Good News" Your browser appears to be safe from the FREAK Attack!"
と表示されれば安全
③"Worning!"が出れば脆弱性が存在
■暗号化通信SSL/TLSとは
「SSL/TLS」を使うことで、例えば,ショッピング・サイトに住所・氏名や,クレジットカードの番号を送る時などに,「サーバーが正しいかを確認して,情報を暗号化して送信する」ということができます。
サイトにアクセスする際に、SSLあるいはTLSによって暗号化されていると、URLが「https」で始まります。なお、SSLは、元々は米ネットスケープ社が開発した技術で、TLSはSSLをもとに作られた技術です。
■「FREAK」の脆弱性とは
暗号化プロトコル「SSL/TLS」で、暗号強度が弱い「輸出向けの暗号」を使っている問題点が、「FREAK」の脆弱性で、簡単に中間者攻撃を受け、通信内容を盗聴されます。
1990 年代の米国政府の輸出規制により、輸出向けの暗号化ソフトウェアは米国内市場向けの暗号化ほど、安全ではない、暗号強度の低い、「輸出仕様」の暗号化を使用するよう義務付けられていました。
この輸出規制自体はかなり以前に撤廃されましたが、「輸出仕様」の暗号化は存続したままです。この暗号化の強度は、非常に弱いもので、わずか数時間で復号することが可能です。
「FREAK」の脆弱性を悪用することで、強度の低い輸出用RSAの使用を強制することができ、これにより暗号が解読されてしまう恐れがあります。
この「FREAK」の脆弱性は、パソコンの全てのブラウザに影響があるとされています。
