脆弱性[1分スピーチ]

つい先々週、「Logjam」と言う名称の脆弱性が公開された。
この脆弱性は簡単に言うと、中間者攻撃(
MiTM)の成立する環境において、暗号通信の強度をダウングレードさせ、クラウドコンピューティングなどの高度な処理能力を持つリソースによる総当りで暗号を解読することが出来てしまう、と言ったものらしい。

数カ月前に「FREAK」と呼ばれる類似の脆弱性があり、こちらはそこそこ盛り上がった割に影響度合いがそこまで高くないと言うことがあった所為か、今回ははじめからそこまで盛り上がってないように感じる。
まず
MiTMが成立すると言うところで多くの場合成立しなくなる。
ISPまでの経路は社内で管理され、そこから先は基本的に傍受不可能であると考えられるからだ。
もっとも、
NSAのインターネット傍受のような噂が本当で、どのように実現されているのかによっては、完全に安全と断言するのは浅見かもしれない。

Heartbleedからこっち、オープンソースの甚大な脆弱性が散見しだして、大手ベンダーもオープンソースプロジェクトのバックアップや、セキュリティチームによる脆弱性の調査も行われているらしい。

一昔前まではオープンソースは、攻撃するためのコードも読むことが可能なので安全、と言った見方をされていたが、今となってはそれが裏目となっているように感じる。
特に暗号化の分野などは、ソースが読めるから脆弱性を発見できるなんて単純な図式はナンセンスで、暗号理論の専門家などがその方式や実装を評価しない限り、安全性の評価には膨大な労力が必要となってしまう。
Dual EC DRBG」のように、暗号専門家の
Bruce Schneierが警鐘を鳴らし続けたにもかかわらず6年も放置された脆弱性(欠陥)もある。

数年前からGoogleMozillaMicrosoftなどでは、脆弱性をレポートすると報奨金が出ると言った制度を行っており、賞金稼ぎ(脆弱性バウンティハンター)などと呼ばれる人も増えているそうな。


767文字)

Pocket

,

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)