TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに

　一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。

　セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS（Transport Layer Security）の脆弱性を明らかにした。TLSとその前身であるSSL（Secure Sockets Layer）は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。

　Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。

　TLS認証プロセスの脆弱性によって、部外者がユーザーの正規のブラウザセッションを乗っ取り、そのユーザーに上手くなりすますことが可能になる、と両氏は技術文書で述べた。

　Ray氏とDispensa氏によれば、脆弱性はTLSの「認証ギャップ」に存在するという。クライアントとサーバの間で一連の電子的な応答確認が交わされる暗号認証プロセスの実行中に、クライアントに対するサーバ認証の連続性にギャップが発生する。これにより、攻撃者はデータストリームを乗っ取るための入り口を確保することができる、と両氏は述べた。

　さらに、この脆弱性によって、HTTPSサーバに対する実際的な中間者攻撃も可能になる、と両氏は述べた。HTTPSは、ほとんどのオンライン決済で利用されている、HTTPとTLSを組み合わせたセキュアなプロトコルだ。

　この脆弱性はSSLにも影響を及ぼすため、これから長い間に渡って厄介な問題となるだろう、とセキュリティ研究家のChris Paget氏はブログ投稿に書いた。

　「SSLがセキュアであることを前提に機能している、多くのソフトウェアアップデートメカニズムはどうなるのだろうか」とPaget氏は書いた。「これはプロトコルレベルの突破口だ。この問題を修正するには、SSLとTLSが機能する仕組みを変える必要がある」（Paget氏）