1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. TLSに「Logjam」と呼ばれる脆弱性が確認される

TLSに「Logjam」と呼ばれる脆弱性が確認される

TLSに「Logjam」と呼ばれる脆弱性が確認されるインターネット通信の暗号化プロトコル「TLS」に脆弱性があることが報じられた。英文による解説サイトが公開され、注意を呼びかけている。

「Logjam」と命名されたこの脆弱性は、「ディフィー・ヘルマン鍵共有」(DH)と呼ばれる暗号化方式に存在し、脆弱性が悪用されると、中間者攻撃により、Webサイトの通信に強度の低い暗号を使うように強制させられ、通信内容の盗聴や改ざんといった被害に遭う可能性がある。DHは、HTTPS(Webのデータ転送に用いられるHTTPが、SSLやTLSで暗号化されている状態を表したもの)やSSHIPsec、SMTPS(電子メール伝送のための通信手順の一つであるSMTPに、伝送路を暗号化するSSLやTLSを組み合わせたもの)といった多くの暗号化通信で使用されている。

脆弱性は、「DHE_EXPORT」とよばれる輸出版の暗号をサポートする任意のサーバーと、すべてのWebブラウザーに影響を及ぼす。これは、暗号化技術の輸出規制に準拠して低強度の暗号化技術をサポートしていたもので、規制緩和後も「後方互換性」を維持するためにサポートが継続されていた。研究チームの調査では、上位100万のドメインのうち8.4%に脆弱性が存在していたという。

主要ブラウザーの最新版ではこの問題を修正しているため、ユーザーは最新版のWebブラウザーを利用することが望ましい。また、システム管理者や開発者に対し、使用しているTLSライブラリを、強度の低いDH暗号を拒否するように最新版へアップデートすることを呼びかけている。

・(英文)Logjamに関する解説サイト
TLSに脆弱性「Logjam」発覚、主要ブラウザーやメールサーバに影響(ITmedia)
FREAK(フリーク)とは(セキュリティ用語解説)

関連キーワード:

DH暗号

Logjam

TLS

脆弱性

  • 「ゆうちょ銀行」を騙るフィッシングメールに注意喚起
  • カテゴリートップへ
  • ランサムウェア感染にJPCERT/CCが注意喚起