オープンソースの暗号化ソフト「GNU Privacy Guard」に脆弱性

文:Joris Evers(CNET News.com)
翻訳校正:尾本香里(編集部)
2006年03月13日 18時14分

 攻撃者がデジタル署名付きのメッセージにコンテンツを加えたり、ファイルに偽造署名を加えたりすることを可能にするセキュリティ脆弱性が2件、暗号化ソフトウェアに見つかった。

 この脆弱性は、オープンソースの「GNU Privacy Guard(GnuPG)」で見つかったもので、GnuPG.orgが警告を出している。同ソフトウェアは暗号化技術「Pretty Good Privacy」に代わる無償のオープンソースソフトウェアで、FreeBSD、OpenBSDなどの多くのLinuxディストリビューションにバンドルされている。

 この2つの脆弱性を発見したGentoo LinuxセキュリティチームのTavis Ormandy氏は米国時間3月10日、電子メールによるインタビューに応じ、この脆弱性がデジタル署名の価値にとって脅威となると書いている。たとえば、悪意あるハッカーが、電子メール経由で送られるセキュリティ警告に情報を付加したり、ソフトウェアアップデートに偽造したデジタル署名を付けるといった悪用が考えられるという。

 電子メール通信やデジタル署名ファイルを認証する際にGnuPGを利用する人にとって、今回の脆弱性はリスクとなる。またメッセージを受け取る人やファイルを利用するユーザーにとっても、なおさら危険だ。

 Ormandy氏によると、LinuxとUnixのディストリビューターの中には、顧客がセキュリティに関する発表が本物であることを確認できるよう、自分たちのセキュリティアドバイザリにGnuPGによるデジタル署名を施しているところが多いという。また、データが加工されることを防ぐため、ソフトウェアアップデートにGnuPGのデジタル署名を用いるディストリビューターもあるという。

 「GnuPGは、ファイルやメッセージを認証するさまざまな方法に用いられている」とOrmandyは書いている。「GnuPGがなければ、悪質なファイルをダウンロードするようアドバイスする偽のアドバイザリが頻繁に出回ることも考えられる」(Ormandy氏)

 GnuPG.orgでは、これらの脆弱性に対応したフィックスを公開している。さらに、同技術をソフトウェアに組み込んでいるGentoo FoundationやNovellなどの組織は、自分たちのソフトウェアに対応したアップデートを公開している。

 直近にみつかった脆弱性に対応するパッチは米国時間3月9日に公開された。このパッチが修正するのは、デジタル署名が施されたはずのメッセージにデータを挿入できてしまう、というもの。GnuPGのセキュリティアドバイザリによれば、こうした攻撃が行われても、GnuPGソフトウェアは、攻撃を検知できなかったという。

 Ormandy氏は、この1つ目の脆弱性を調査しているうちに、2つ目の脆弱性を発見したという。なお、1つ目の脆弱性を修正するパッチは、2月15日に公開されている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]