アップル、シスコなど各社、「FREAK」脆弱性に相次いで対応

　Apple、Microsoft、Google、Cisco Systemsの各社は、インターネットの暗号化通信を根底から揺るがす恐れがあった脆弱性「FREAK」を修正するパッチやアップデートを相次いでリリースした。

　FREAKは、輸出用の製品に低強度の暗号化方式を搭載するという、1990年代に施行された輸出規制の遺物。この輸出規制は米国外の通信監視を容易にしようと画策した米国家安全保障局（NSA）の後押しで施行されたものだった。FREAKが初めて世間に姿を現したのは、OpenSSL Projectが2015年1月に公表したセキュリティアドバイザリの中だったが、世界が事態の重大性を認識したのはフランス国立情報学自動制御研究所（INRIA）とMicrosoft Researchが3月3日に警告を発してからだった。

　これを受けAppleはFREAK脆弱性への対応を含む「Security Update 2015-002」をMac OS X Mountain Lion 10.8.5、OS X Mavericks 10.9.5、OS X Yosemite 10.10.2向けに公開した。また、iOSの脆弱性は「iOS 8.2」で、Apple TVの脆弱性は「Apple TV 7.1」でそれぞれ修正される。

　Microsoftは米国時間3月10日に、同社のTLS実装である「Schannel」の脆弱性を修正するパッチをリリースした。GoogleもデスクトップとAndroidのChrome向けに修正をリリースした。

　CiscoはOpenSSLを使用する多くの自社製品が、FREAKを含む、OpenSSLに発見された複数の脆弱性の影響を受けることを認めた。同社では脆弱性を修正するパッチをリリースしたが、現在も幾つかの製品に対する脆弱性の影響を調査中で、対象には「Jabber」「TelePresence」、各種ルータ製品、各種セキュリティ製品などが含まれる。

　なお、CiscoはGoogle Project Zeroが3月9日に公表したDRAMの脆弱性「rowhammer」についても製品への影響を調査中である。Ciscoによると、調査対象の各製品にはECCメモリモジュールを始めとする各種のハードウェア的な保護対策が施されているため、現時点では脆弱性の影響は確認されていないが、調査は継続して行っていく予定だという。