オンラインバンキングやオンラインショッピング、その他の慎重を要する接続を暗号化し、盗聴を阻止するために利用されている暗号化プロトコル TLS に対する新しいマンインザミドル攻撃を、セキュリティ研究者たちが開発した。
この「Triple Handshake」と呼ばれる攻撃は、特定の条件下において、「安全性の高い接続方法でサーバに接続するユーザー」の身元を確かめるのに不可欠な確認作業の裏をかくことができる。
言い換えるなら、悪質なシステムがユーザーのログイン認証情報(この場合はクライアント証明書)を傍受することにより、それと同じ認証情報を許可するあらゆるサーバで犠牲者になりすますことが可能となる。
この新たな欠陥は、フランス国立情報学自動制御研究所(INRIA)のセキュリティ研究者たちによって発見されたもので、この業界にいる彼らがこれまでの仕事から描き出したものだ。
この「Triple Handshake」と呼ばれる攻撃は、特定の条件下において、「安全性の高い接続方法でサーバに接続するユーザー」の身元を確かめるのに不可欠な確認作業の裏をかくことができる。
言い換えるなら、悪質なシステムがユーザーのログイン認証情報(この場合はクライアント証明書)を傍受することにより、それと同じ認証情報を許可するあらゆるサーバで犠牲者になりすますことが可能となる。
この新たな欠陥は、フランス国立情報学自動制御研究所(INRIA)のセキュリティ研究者たちによって発見されたもので、この業界にいる彼らがこれまでの仕事から描き出したものだ。
![[Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21309.jpg)