日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう：セキュリティクラスター まとめのまとめ 2015年3月版（1/3 ページ）

連載目次

　2015年3月のセキュリティクラスターは、またまた「OpenSSL」に脆弱性が見つかったことが話題となりました。実際には急ぎで対応するほど影響のあった人は多くなかったようですが、以前のHeartbleedの件もあったので、気にしていた人が多かったようです。

　また、依然として活動を続けているISIL（ISIS、「イスラム国」などとも）が、とうとう日本をターゲットとし、Webサイトの書き換えを行い始めた疑いについても騒ぎとなりました。そして、Androidに話題となる脆弱性がいくつも見つかったり、Windowsの脆弱性を修正するためのアップデート「KB3033889」で逆に不具合が出たりしたことなども話題となりました。

20世紀のゾンビがいま復活!? 「FREAK」脆弱性が公開される

　2015年3月1日、またまたOpenSSLの大きな脆弱性が発表されます。「FREAK」（Factoring attack on RSA-EXPORT Keysの略）と名付けられたこの脆弱性は、20世紀にアメリカが行っていた暗号の輸出規制に起因したものでした。

　この輸出規制はとっくの昔に緩和されていたにもかかわらず、実は今でも輸出規制に対応した弱い暗号を使用させる仕組みが残っており、2015年になって、その弱い暗号の使用を強制できることが判明したのです。

　「弱い暗号」といっても過去に運用していたわけで、そんなに簡単に解けるわけもないと思われるかもしれません。ところが、進歩した現在のコンピューターを使うと、1日もあれば解読できるようになっていたということです。

　これによって、通信を暗号化するための「鍵」が知られてしまいますので、SSLで暗号化しているつもりでも、通信内容を全部見られてしまうということになります。公衆無線LANなど、誰でも通信が傍受可能な経路でSSLを使っていた場合、簡単に通信の盗聴を許してしまうことにつながります。

　この脆弱性が公表されると、ずいぶん前に終了したはずの規制への対応が、まだアプリケーション側に残っていたことに驚く反応が多かったようです。もうとっくに誰かが対応を止めているはずだと思い込んでいたのでしょう。

　当初、iOS、Linux、OS XなどOpenSSLを使用しているOSのみに影響があり、Windowsは関係ないと発表されたということで、Windowsユーザーはちょっとほっとしていたのですが、その後実はWindowsにも同様の問題があることが判明します。いったん喜んだ後だけに、より大きなショックを感じている人も見られました。

　また、ShellShockやHeartbleedなど大規模な影響がある脆弱性が公表されたときと同様に、公表時にはすでにWebサイトが準備されていましたが、ロゴは発表されず、そのことに不満気（？）なツイートも見られました。

　また、2015年3月20日にOpenSSLの大規模なアップデートがありました。この週の初めには金曜日にリリースするというもったいぶったアナウンスがあり、いったいどんな大きな脆弱性が発表されるのか身構えていた人も多かったようですが、発表された脆弱性は、攻撃に使ったとしてもDoS程度しか行えず、肩透かしを食らったような感想のツイートを多く見かけました。