1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. OpenSSLにCCSインジェクションの脆弱性(CVE-2014-0224)が確認される

OpenSSLにCCSインジェクションの脆弱性(CVE-2014-0224)が確認される

OpenSSLにCCSインジェクションの脆弱性(CVE-2014-0224)が確認されるOpenSSLに新たに複数の脆弱性が確認された。開発元のOpenSSLプロジェクトは6月5日(米国時間)、セキュリティアドバイザリを公開し、問題を修正したバージョン0.9.8za/1.0.0m/1.0.1hの適用を呼びかけている。

この脆弱性のうち、「CVE-2014-0224」は、CCS(ChangeCipherSpec)メッセージの処理に欠陥があるというもの(「CCSインジェクション」の脆弱性と呼ばれる)。悪用されると、中間者攻撃により通信内容や認証情報などを詐取されたり、改ざんされる可能性がある。これは、セキュリティ関連の研究開発・受託開発等を手がけるレピダム社の技術者が発見したもので、同社は、6月5日、技術情報を公開している。

技術情報によると、この脆弱性を悪用して中間者攻撃を実行するには、クライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用しており、しかもサーバー側がバージョン「1.0.1」以降である必要がある。

開発者側の対策は、上述の通り、各ベンダーから提供される更新版にアップデートすることだ。AndroidやLinuxではOpenSSLが使われているため、更新を適用する必要がある。また、Windows, Mac, iPhoneの標準アプリではOpenSSLを使っていないので、今回の脆弱性に由来する危険はないとのこと。

また、レピダム社は、エンドユーザー側の対策として、公衆無線LANなどが中間者攻撃の場として利用される可能性があるため、オンラインバンキングやEコマースの決済など、個人情報の入力が必要なサイトを利用する際は、公衆無線LANを避け、通信事業者などと契約して利用する3GやLTEなどの回線を利用するよう呼びかけている。

OpenSSLについては、2014年4月に、「Heartbleed」の脆弱性が確認されたばかりだ。

・(英文)セキュリティアドバイザリ(OpenSSL)
OpenSSL #ccsinjection Vulnerability(レピダム社)
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性(JVN#61247051)
最初のリリースから16年間存在していた問題、修正版へのアップデートを推奨:OpenSSLに再び脆弱性、MITM攻撃につながる恐れ(@IT)

関連キーワード:

CCSインジェクション

OpenSSL

中間者攻撃

脆弱性

  • IPAがスマホ向けのワンクリック詐欺に注意喚起
  • カテゴリートップへ
  • AOSS(AirStation One-Touch Secure System)とは
あなたへのオススメ
2015年5月14日
Apache Struts(アパッチ・ストラッツ)とは
2015年6月 4日
水飲み場型攻撃とは
2013年12月 2日
SQLインジェクションとは
2017年3月 6日
2017年2月のIT総括
2010年4月 6日
「Fix it(フィックスイット)」とは