公開鍵証明書の脆弱性を速やかに検証し脆弱なSSLサーバを特定、分布状況が把握可能に(NICT)
情報通信研究機構(NICT)は10月22日、「SSL」(Secure Socket Layer)の脆弱性を検証するシステム「XPIA」(エクスピア)を構築したことを発表した。
製品・サービス・業界動向
業界動向
「SSL」は、電子政府システム、インターネットバンキング、オンラインショッピングなど、広く普及しているセキュリティシステムで、インターネット上での安全な通信を支える技術となっている。一方で、2012年に、SSLに対する新しい脅威が報告された。
SSLでは、通信相手のサーバが本物であるかどうかの確認(認証)などに公開鍵暗号「RSA」が利用されているが、昨年、ヘニンガーとレンストラのチームによって、乱数の偏り等が原因で、同じ秘密鍵(素数)を含む公開鍵が多数生成され、SSLサーバ証明書に組み込まれて利用されていることが報告された。2つのRSA公開鍵に同じ秘密鍵が含まれていた場合、最大公約数を求めることで簡単にその秘密鍵が暴かれ、SSLサーバ証明書の偽造などが可能になるという。この結果、世界中のSSLサーバの0.4%に当たる2万台以上が危険な状態にあることが判明した。
「XPIA」は、SSLサーバの公開鍵証明書について、そのセキュリティ上の脆弱性を検証するシステムだ。XPIAにより、公開鍵証明書の脆弱性を速やかに検証できるとともに、脆弱なSSLサーバを特定し、分布状況を把握することが可能になる。
今回、XPIAを用いてSSLサーバから収集した公開鍵証明書から抽出したRSA公開鍵の脆弱性を検証したところ、少なくとも世界中で2,600台を超えるSSLサーバが脆弱な公開鍵を現時点でも利用していたとのこと。また調査範囲内では、インターネットバンキングやオンラインショッピングなどのサービスサイトは見つか羅なかった。
本成果は、日本の電子政府等において、暗号技術を安全に利用するための指針として活用される予定。
NICT、SSLの脆弱性を検証するシステム「XPIA」を開発……脆弱なSSLサーバを特定
《冨岡晶@RBB TODAY》
関連記事
-
なぜ英国の諜報部は、SSL の暗号化を軽くあしらうだけだったのか。いま、我々はその理由を知っている~HTTPS は盗聴を妨げ、ウェブを濾過するって?彼らはすでに暗号破りの手法を手に入れている(The Register)
国際 -
【Interop 2013】サイバー攻撃統合分析プラットフォーム「NIRVANA改」を開発、セキュリティ分析機能を追加(NICT)
製品・サービス・業界動向 -
可視化したネットワーク上にサイバー攻撃関連の情報を表示する技術(NICT)
製品・サービス・業界動向 -
「無線メッシュ通信インフラ」の構築により安否確認・被災状況等の情報検索・発信機能を確保(NICT)
製品・サービス・業界動向
この記事の写真
/
