連載
» 2016年04月13日 05時00分 UPDATE

セキュリティクラスタ まとめのまとめ 2016年3月版:結局のところ「ホワイトリスト」とは何なのか (1/3)

2016年3月のセキュリティクラスタは、またしても公開されたOpenSSLの脆弱性に恐々とする一方、「eLTAX」や「ホワイトリスト」に関して激しい議論を交わしていました。

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]
「セキュリティクラスタ まとめのまとめ」のインデックス

連載目次

 3月のセキュリティクラスタは、月初めから名前の付いたOpenSSLの脆弱(ぜいじゃく)性が2つ同時に公開されたことで身構えた人も多かったようですが、最終的にそれほどの影響はなかったようで、大騒ぎにはなるまでには至りませんでした。

 3月14日には地方税納付のためのオンラインシステム「eLTAX」の仕様変更が発表されましたが、2016年の今ActiveXを採用したことが明らかになり、批判の的になりました。また、Webの世界でよく使われている「ホワイトリスト」の定義をめぐって、再び議論が巻き起こりました。

OpenSSLの「CacheBleed脆弱性」と「Drown脆弱性」が発表される

 3月1日にOpenSSLに関する2つの大きな脆弱性、「CacheBleed脆弱性」と「DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)脆弱性」が公表されました。2月末に“重大な脆弱性を含む更新”が予告されていたこともあり、警戒していた人も多くいたようですが、ふたを開けてみればそれほど実務に影響はなかったようです。

 ただ、CacheBleed脆弱性はOpenSSLやLibreSSL、NSS(Network Security Services)などに存在した問題で、「CPUを共有しているマシンにおいて、悪意を持ったユーザーが他のユーザーのRSA秘密鍵を盗み出せる可能性がある」というものでした。とても危険な脆弱性ではあるのですが、攻撃を行えるCPUが限定されていることや、攻撃者がCPUを共有している必要があるということから、直接影響がある人は少なかったようです。

 また、DROWN脆弱性はSSLv2プロトコルの問題で、「ハンドシェイク時のデータを解析することで、暗号化されたはずのデータが復元されて読まれてしまう」というこちらも非常に危険度の高い脆弱性でした。SSLv2だけでなくGoogleの開発した「QUIC(Quick UDP Internet Connections)」というプロトコルにも同様の問題があるそうです。

 DROWN脆弱性もCacheBleed同様に非常に大きな脆弱性ではあるのですが、2014年の「Heartbleed」や「POODLE」、そしてちょうど1年前の2015年3月に話題となった「FREAK」など、OpenSSLやSSL/TLSプロトコルについては、脆弱性が近年複数報告されていたこともあって、セキュリティクラスタでは既に組織内などでSSLv2を無効化している人も多かったようです。そんなわけで当初警戒された程には、急な対応に追われているようなツイートは見られませんでした。

       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。