DROWN(ドラウン)とは

DROWN(ドラウン)とは、OpenSSLに存在する脆弱性(CVE-2016-0800)のこと。脆弱性を発見した研究者によって「Decrypting RSA with Obsolete and Weakened eNcryption」の頭文字をとり「DROWN」と呼ばれている。

脆弱性の影響を受けるバージョンは、OpenSSLの「1.0.1rおよびそれ以前の1.0.1系列」「1.0.2fおよびそれ以前の1.0.2系列」で、SSLのバージョン2.0(SSLv2)がサーバー側で利用可能な設定となっている場合、中間者攻撃により、遠隔の第三者によって、秘密鍵などの重要な情報を取得される可能性がある。

なお、この脆弱性は、OpenSSLだけでなく、Microsoft IISやApache、nginxなど、SSLv2が有効な環境においていくつかのWebサーバーが影響を受ける可能性がある。SSLv2は2011年から非推奨となっているが、脆弱性を発見した研究者によると、現在も多くのサーバーがSSLv2とTLSで共通のサーバー証明書を使用しているためだという。

対策は、OpenSSLを修正済みの最新バージョンである「OpenSSL 1.0.1s」(OpenSSL 1.0.1系列)、「OpenSSL 1.0.2g」(OpenSSL 1.0.2系列)に更新することだ。また、回避策として、最新バージョンの適用が難しい場合は、SSLv2を無効にすることが推奨されている。

・(英文:発見者によるサイト)DROWN Attack
OpenSSL の複数の脆弱性に関する注意喚起(JPCERT/CC)

セキュリティ用語辞典一覧ページへ

関連キーワード:
  • IPAが「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を公開
  • カテゴリートップへ
  • OpenSSHに情報漏えいの脆弱性、更新版プログラムが公開
あなたへのオススメ
2015年6月 4日
水飲み場型攻撃とは
2015年3月 9日
2015年2月のIT総括
2017年1月 5日
App Transport Security(ATS)とは
2010年4月 6日
「Fix it(フィックスイット)」とは
2015年10月28日
マルバタイジングとは