ほかのプロトコルの利用を推奨

認証プロトコル「MS-CHAP v2」の脆弱性に相次ぎ注意喚起

2012/08/23

 PPTPでのVPN接続などに利用されているマイクロソフトの認証プロトコル「MS-CHAP v2」に、情報漏えいにつながる恐れがある脆弱性が発見された。日本マイクロソフトがアドバイザリを公開したほか、JPCERTコーディネーションセンター(JPCERT/CC)などのセキュリティ機関が注意を呼び掛けている。

 この問題は、MS-CHAP v2を単体で利用して、PPTPベースのVPN接続を行っている場合に生じる。悪意ある第三者が中間者攻撃や無線通信を盗聴することで認証トラフィックを取得し、認証に関する情報(パスワード)を窃取される可能性がある。こうして盗まれた認証情報が悪用されれば、なりすましや不正アクセスにつながる恐れもある。すでに、この攻撃を行うためのツールも公開済みだ。

 日本マイクロソフトはこの状況を受け、8月21日にセキュリティアドバイザリを公開した。上記に該当する環境では、拡張プロトコルの「PEAP」を併用したり、L2TP、SSTP、IKEv2といったほかのプロトコルを利用することを推奨している。

 またセキュリティ企業のラックもこの件に関する注意喚起を公開。VPNに加え、無線LAN(WPA2 Enterprise)の認証にEAP-TTLS/MSCHAPv2もしくはPEAPv0/EAP-MSCHAPv2を利用している場合も、通信内容を読み取られてしまう可能性があると指摘した。WPA2 Enterpriseでは暗号化通信(TLS)の内側でトンネル認証として使用されているため、「ただちに問題となるものではない」(同社)が、EAP-TLSやPEAPv1/EAP-GTC、EAP-SIMといったほかのプロトコルに切り替えることが推奨されるという。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間