logo

安全でないSSLv2プロトコルを使用したオンラインバンキングアプリケーション の危険性について

Doctor Webのテクニカルサポートには、安全でないSSLv2プロトコルを使用したオンラインバンキングアプリケーションを利用するDr.Webユーザーからの多くの問い合わせが寄せられています。これらの質問に回答し、今後ユーザーの方が問い合わせを行う必要のないよう、この問題に関する詳細をご説明いたします。

###
現在、SSLv2には複数の脆弱性が存在するため、そのプロトコルならびにそれを使用したアプリケーションは安全ではありません。

中でも特に、このプロトコルを使用するシステムはMITM(man-in-the-middle)攻撃(中間者攻撃)のほか、データ送信に影響を与えるような攻撃を受けやすくなります。また、SSLv2のMD5ハッシュアルゴリズムも危険に晒されているため、使用は推奨されません。

SSLv2が安全でないということは以前より知られています。1996年には既にSSLv3に置き換えられていますが、これにもまた脆弱性(CVE-2014-3566)があることが判明しています。SSLv2はRFC 6176によって2011年に正式に廃止されています。そのため、SSLv2経由で接続が確立されると、Dr.Webはその危険性についてユーザーに通知します。

Dr.Webユーザーから寄せられたサポートリクエストから、一部のオンラインバンキングアプリケーションで安全でないSSLv2が未だ使用されているということが明らかになっています。該当する銀行のカスタマーサポートでは、アプリケーションに問題が発生した利用者に対し、Dr.Webをアンインストールするよう指示するケースが見受けられますが、これにより、自行の利用者の預金を危険にさらしてしまうことになりかねません。

この続きは以下をご覧ください
リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

今日の主要記事