ICHIRO BLOG引っ越しました

山本一郎です。稀にズボンの前チャックが大きなセキュリティホールになります。

ところで、ネットサービスで長年利用されてきた基本的な機能に不具合が見つかりセキュリティ的に大きな問題となる事例がまた発見されました。

米輸出規制に起因するTLS/SSLの脆弱性「FREAK」が発覚（ITmedia 15/3/4）

インターネットの通信の暗号化に使われているTLS/SSLプロトコルに、1990年代の米国の暗号輸出規制に起因する脆弱性が存在することが分かった。AppleのSafariや、Androidブラウザに使われているOpenSSLなどが影響を受けるとされ、各社が修正パッチの開発を急いでいる。ITmedia

今回発覚した問題ですが、実際には不具合ではなく、元々は高性能であるはずの暗号技術をわざわざ意図的に劣化させて使用することを米国政府機関が強要した経緯があり、その後そうした規制は廃止されたにもかかわらず、劣化した機能はそのまま望まれぬ置き土産として今も残ってしまっていたということのようです。

SSLの深刻な脆弱性「FREAK」が明らかに--ウェブサイトの3分の1に影響か（ZDNet Japan 15/3/4）

Secure-Socket Layer（SSL）という暗号化技術が産声を上げた当時、米国家安全保障局（NSA）は外国でやり取りされる「セキュア」なウェブトラフィックの内容を確実に傍受したいと考えていた。このためNSAは「Netscape Navigator」のインターナショナル版には40ビット暗号を使用し、より安全な128ビット暗号は米国版でのみ使用するようNetscapeを説き伏せた。その後、2000年1月に暗号輸出管理規則が改正され、どのようなブラウザでもよりセキュアなSSLを使用できるようになった。しかし、旧来のセキュアでないコードは、15年が経過した今でも使用されており、われわれに牙をむいてきている。ZDNet Japan

また今回も悪名高いNSAの仕業であったわけですが、笑えるのはこの問題がしっかりとNSAのサイトにも影響を及ぼしているらしい点でしょうか。

この脆弱性はNSAやFBIを含む米政府機関のWebサイトや、Facebook、IBM、Symantecといった大手サイトにも存在し、攻撃が通用することを確認したと研究チームは報告している。ITmedia

あのさあ…。

さて、このFREAKと呼ばれる脆弱性ですが、エンドユーザーが取れる対策としては、問題のあるWebブラウザの利用を控えるということになります。PC用ブラウザであれば今のところ「Chrome」と「Firefox」が安全と言われています。

一方で、Appleの「Safari」については修正パッチが現在開発中で3月9日の週に配布開始予定とのこと。

GoogleのAndroid用純正ブラウザも脆弱性の対象となっていますが、その対策は最終的には各端末メーカー次第となるため、実際に今後修正パッチなどが提供されるのかどうかはやや不透明な状況となっています。

アップルとグーグル、「FREAK」脆弱性のパッチを準備中（ZDNet Japan 15/3/5）

GoogleがReutersに語ったところによると、Androidのパートナー各社にはすでにパッチが配布されているとのことだが、それらのパートナー企業がエンドユーザーにパッチを配布するのかどうか、配布するとしたらいつになるのかは公表されていない。ZDNetはGoogleにコメントを求めたが、本記事の執筆時点で回答は得られていない。ZDNet Japan

この辺りはもしかすると、しばらく前に話題となったAndroid 4.3以前についてはセキュリティパッチの提供を終わるといった話とも関係がありそうに見えます。

Androidのセキュリティが色々やばそうな件で（15/1/15）

うちはやることやったからあとはパートナー次第だよと投げてしまえるのは、正にGoogleならではの合理的な割り切り方とも言えますが、こうした姿勢を良しとして受け入れるかどうかがAndroidユーザーとしてやっていけるかどうかの境目なのかもしれません。

いずれにしても、この記事を書いている時点では主要なスマホの純正ブラウザはほとんどがアウトという状態なわけでして、今回のFREAKの問題はとても大きな事件だと思われるのですが、こうした情報がどこまでスマホユーザー全体に周知されているのかと言えば、どこのキャリアもスマホのブラウザが危ないという告知活動は全くやっていないのが現状です。うーん、これで良いんですかね。まあ、しょうがないんでしょうけど。