FREAK攻撃に関するリスク軽減策のご案内

Alerts ID:    ALERT1705

Description

2015年3月6日

 

お客様各位

日本ジオトラスト株式会社

 
FREAK攻撃に関するリスク軽減策のご案内

平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

先日、暗号化プロトコル「SSL/TLS」の複数のライブラリに脆弱性が存在し、通信内容を盗聴したり改ざんする中間者攻撃「Factoring attack on RSA-EXPORT Keys(通称『FREAK』)」が可能となることがわかりました。

この攻撃はSSLサーバ証明書や証明書関製品に起因する脆弱性によって引き起こされるものではございませんが、リスク軽減策を下記の通りご案内させていただきます。

日本ジオトラストでは、引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。

 

1. 『FREAK』の概要

この脆弱性を突いた攻撃では、攻撃者がクライアントとサーバの間に割り込み、暗号化された通信を盗み見ることが可能になります。
この脆弱性はOpenSSLなどのクライアントソフトウェアの脆弱性並びにウェブサーバの暗号強度の弱いCipher Suiteの設定に起因するものです。

2. SSLサーバ証明書および証明書関連製品への影響

この脆弱性はSSL/TLSプロトコルのライブラリに関する脆弱性で、既存のSSLサーバ証明書やコードサイニング証明書への影響はございません。
証明書の再発行やウェブサーバへの入れ替え作業は必要ございません。

3. お客様のリスク軽減方法

利用しているウェブサーバの種類(Apache、IIS、nginx等)に関わりなく、Export Cipherが使われている環境の脆弱性が指摘されているため、以下の「EXPで始まる」Export Cipher
が使われている場合は、ウェブサーバ側で無効化する設定を行い、ウェブサーバを再起動してください。

EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-RC4-MD5
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-ADH-DES-CBC-SHA
EXP-ADH-RC4-MD5

同様に以下のNull Cipherは、暗号機能を提供しないため併せて無効にすることを推奨いたします。

NULL-SHA
NULL-MD5

Windowsの場合、Export Cipherは「Export」という文字を含みます。

http://support.microsoft.com/kb/245030 の案内に基づいて以下のCipher Suiteを無効化してください。

SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SSL_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_EXPORT_WITH_RC4_40_MD5
NULL


※設定方法に関するご不明点は、確実な情報を得ていただくため、ご利用のウェブサーバのベンダに直接ご確認ください。
※ジオトラストのSSL Toolboxを使うと、対象のウェブサーバがFREAKの脆弱性を持っているか確認いただけます。
 https://ssltools.geotrust.com/checker/views/certCheck.jsp 
※OpenSSLのFREAKに関する脆弱性情報(英語)
 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
※弊社ブログでも詳細を説明しております(提供:米国シマンテック 英語)
 http://www.symantec.com/connect/blogs/freak-vulnerability-what-you-need-know
 

4.日本ジオトラストの対応

日本ジオトラスト含めシマンテックグループでは、ストアフロントなど当社グループが運用するウェブサーバについては対処を全て完了しております。
なお、シマンテック クラウド型WAFご利用のお客様は、WAFが攻撃を受けるCipher Suiteを無効にしているため、攻撃の影響を受けません。
 


以上

Find Answers


Search Tips