FREAK(フリーク)とは

FREAK(フリーク)とは、「OpenSSL」に存在する脆弱性(CVE-2015-0204)のこと。強度の弱い輸出グレードのRSA暗号をサポートしていたことに起因するもので、通信内容の盗聴や改ざんの影響を受ける可能性がある。この問題を発見した専門家チームにより通称「FREAK」と名づけられた。なお、FREAKは「Factoring attack on RSA-EXPORT Keys」の略。

この問題の背景には、各国による暗号化技術の輸出規制の問題があることが指摘されている。国家安全保障上の問題から、暗号化技術や暗号を使った製品などの利用や輸出が規制されていた時代があり、SSLもこの規制の対象にあった。例えば、日本でアメリカのWebブラウザーを利用する際は、40bitや56bitといった低強度の暗号化技術をサポートした輸出版しか利用できないよう制限されていたことがある。現在はこうした規制は緩和されているが、過去の仕様に基づいた機能を廃止できない「後方互換性」の問題が、FREAKの要因として挙げられている。

この脆弱性を悪用すると、いくつかの条件のもとで中間者攻撃が成立し、Webサイトの通信に強度の低い暗号を使うように強制させられ、通信内容の盗聴や改ざんといった被害に遭う可能性がある。

脆弱性は、OpenSSLの最新バージョンでは解消されており、管理者は、最新版へのアップグレードが推奨される。また、OpenSSLが組み込まれた主要ブラウザーも最新版でこの問題を修正しているため、ユーザーは最新版のWebブラウザーを利用することが望ましい。

セキュリティ用語辞典一覧ページへ

関連キーワード:

後方互換性

改ざん

暗号化

盗聴

脆弱性

  • オンラインゲームをかたるフィッシングが8割以上を占める
  • カテゴリートップへ
  • K子のさらにセキュアな日常 Vol.4 「標的型」対策には万一の不正侵入に備えた多層的な防御が必要