Apple、Microsoft、Google、Cisco Systemsの各社は、インターネットの暗号化通信を根底から揺るがす恐れがあった脆弱性「FREAK」を修正するパッチやアップデートを相次いでリリースした。
FREAKは、輸出用の製品に低強度の暗号化方式を搭載するという、1990年代に施行された輸出規制の遺物。この輸出規制は米国外の通信監視を容易にしようと画策した米国家安全保障局(NSA)の後押しで施行されたものだった。FREAKが初めて世間に姿を現したのは、OpenSSL Projectが2015年1月に公表したセキュリティアドバイザリの中だったが、世界が事態の重大性を認識したのはフランス国立情報学自動制御研究所(INRIA)とMicrosoft Researchが3月3日に警告を発してからだった。
これを受けAppleはFREAK脆弱性への対応を含む「Security Update 2015-002」をMac OS X Mountain Lion 10.8.5、OS X Mavericks 10.9.5、OS X Yosemite 10.10.2向けに公開した。また、iOSの脆弱性は「iOS 8.2」で、Apple TVの脆弱性は「Apple TV 7.1」でそれぞれ修正される。
Microsoftは米国時間3月10日に、同社のTLS実装である「Schannel」の脆弱性を修正するパッチをリリースした。GoogleもデスクトップとAndroidのChrome向けに修正をリリースした。
CiscoはOpenSSLを使用する多くの自社製品が、FREAKを含む、OpenSSLに発見された複数の脆弱性の影響を受けることを認めた。同社では脆弱性を修正するパッチをリリースしたが、現在も幾つかの製品に対する脆弱性の影響を調査中で、対象には「Jabber」「TelePresence」、各種ルータ製品、各種セキュリティ製品などが含まれる。
なお、CiscoはGoogle Project Zeroが3月9日に公表したDRAMの脆弱性「rowhammer」についても製品への影響を調査中である。Ciscoによると、調査対象の各製品にはECCメモリモジュールを始めとする各種のハードウェア的な保護対策が施されているため、現時点では脆弱性の影響は確認されていないが、調査は継続して行っていく予定だという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する