TLS に新たな欠陥:被害者になりすますことが可能に~研究者が暴いた、暗号化プロトコルを騙す方法――及び、それを修復する方法(The Register) | ScanNetSecurity
2026.07.18(土)

TLS に新たな欠陥:被害者になりすますことが可能に~研究者が暴いた、暗号化プロトコルを騙す方法――及び、それを修復する方法(The Register)

「短期的な策として、我々はアプリケーションレベルでの緩和策も提案するが、(長期的に)目指しているのはプロトコルの修復である。それが根本的な問題の解決となるだろう」

国際 TheRegister
オンラインバンキングやオンラインショッピング、その他の慎重を要する接続を暗号化し、盗聴を阻止するために利用されている暗号化プロトコル TLS に対する新しいマンインザミドル攻撃を、セキュリティ研究者たちが開発した。

この「Triple Handshake」と呼ばれる攻撃は、特定の条件下において、「安全性の高い接続方法でサーバに接続するユーザー」の身元を確かめるのに不可欠な確認作業の裏をかくことができる。

言い換えるなら、悪質なシステムがユーザーのログイン認証情報(この場合はクライアント証明書)を傍受することにより、それと同じ認証情報を許可するあらゆるサーバで犠牲者になりすますことが可能となる。

この新たな欠陥は、フランス国立情報学自動制御研究所(INRIA)のセキュリティ研究者たちによって発見されたもので、この業界にいる彼らがこれまでの仕事から描き出したものだ。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 「QRでアクセスするので該当者しか閲覧できない」と思い込み ~ マラソンのボランティアの個人情報閲覧可能に

    「QRでアクセスするので該当者しか閲覧できない」と思い込み ~ マラソンのボランティアの個人情報閲覧可能に

  2. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  3. エクセルファイルに個人情報が記載されたシートがあることに気づかず公開

    エクセルファイルに個人情報が記載されたシートがあることに気づかず公開

  4. フィルタを解除すると全員のデータが閲覧可能なファイルを誤送信

    フィルタを解除すると全員のデータが閲覧可能なファイルを誤送信

  5. 近畿大学薬学部の教員が個人情報が記載されたファイルをGoogleドライブ上で誤って学生に共有

    近畿大学薬学部の教員が個人情報が記載されたファイルをGoogleドライブ上で誤って学生に共有

ランキングをもっと見る
PageTop