TLS/SSLに脆弱性のFREAKを確認
暗号化通信に使用されているTLS/SSLプロトコルに深刻な脆弱性が確認された。この脆弱性はFREAK(Factoring attack on RSA-EXPORT Keys)と言われ、多くのWebサイトで利用されているSSLプロトコルやSafari、Androidに使用されているOpenSSLも影響する。
この脆弱性により攻撃者がクライアントとサーバのHTTP接続を傍受することが可能となり、弱い暗号化が強制的に使用され、攻撃者が機密情報を窃取することが可能になる。この弱い暗号化というのは1990年代に米国企業が暗号輸出のために暗号鍵の強度を弱めるよう暗号システムに規制をかけられていたもので、現在はこの規制が解除されたが、OpenSSLにまだこの弱い暗号化方式が実装されているため中間者攻撃などにより暗号が解読され悪用される恐れがある。このOpenSSLの脆弱性CVE-2015-0204は1月に既に公開され、OpenSSL1.0.2が公開されているため、早めにアップデートするよう推奨される。Appleでは3月9日の週にこの脆弱性の修正パッチが公開される予定となっている。また、MicrosoftのOSのWindows搭載PCもFREAKの脆弱性の影響を受けるとして、セキュリティアドバイザリを公開した。
