RC4 暗号化アルゴリズムにおける最近の発見について教えてください。この発見が HTTPS ウェブ接続に与えるセキュリティ上の影響について教えてください。この脆弱性の影響を受けないようにするために、組織は何をすべきでしょうか?
マイケル・コブ:RC4(Rivest Cipher 4)は、1987年にRSAセキュリティ社のロン・リベスト(Ron Rivest)氏によって設計された暗号化アルゴリズムです。有線等価暗号、ワイヤレスネットワークのセキュリティアルゴリズム、HTTPSのセキュアソケットレイヤーとトランスポートレイヤーセキュリティプロトコルなどの一般的なプロトコルで使用されており、実際、現在LSトラフィックの約50%がC4アルゴリズムで保護されています。しかし、長年にわたってこのアルゴリズムに発見された脆弱性により、C4はその寿命を終えようとしています。
イリノイ大学の Dan Bernstein 教授は最近、RC4 の脆弱性を公表し、攻撃者が RC4 を使用して暗号化された TLS 接続から限られた量のプレーンテキストコンテンツを復元できることを明らかにしました。このRC4攻撃は、この暗号化アルゴリズムをサポートするSSLとTLSのすべてのバージョンに適用されます。RC4に対するこの攻撃が可能なのは、この暗号化によって生成されるキーストリームに統計的な欠陥があるためで、その結果、暗号化された情報の一部が開示され、攻撃者は分析するのに十分なサンプルを得ることができます。
この脆弱性は、現時点では実装される可能性が低いマルチセッション攻撃であるため、SSL/TLSユーザーにとって直ちに脅威となるものではありません。攻撃者は、クライアントとサーバー間のネットワーク・トラフィックや、電子メールの同じ場所で同じ暗号化されたコンテンツが繰り返し送信されていることをキャプチャできなければなりません。攻撃者がこれらの情報をキャプチャしたとしても、攻撃者が復元できるのはメッセージのごく一部です。しかし、HTTPメッセージには、会話全体を通して同じであるプログラムヘッダーがあるため、特にこの脆弱性を悪用する、より効果的な方法が出現した場合、ieの内容をキャプチャできる可能性があります。攻撃者がieに保存されたデータにアクセスできれば、組織にとって大きな危険となります。というのも、ieは、ユーザが何度もログインする必要がないように、ユーザアカウント情報や認証に使われるセッショントークンを保存するために使われることが多いからです。攻撃者がこれらのieを傍受することができれば、ユーザーになりすましたり、感染したサイトやサービス内の機密データにアクセスしたりすることができます。
TLS1.2はAEAD (Encrypted Authentication with Associated Data)暗号化をサポートしていますが、このバージョンのTLSはまだ広く普及していません。iOS上で動作するSafariを除いて、主要なブラウザはこれをまったくサポートしていないか、デフォルトでオフになっています。このため、TLSがRC4を使用する方法を変更することはできますが、クライアントとサーバーごとにTLSの展開を変更し、将来改良されるRC4攻撃手法に対抗できるようにする必要があります。
管理者は現在、TLS 1.0またはTLS 1.1のいずれかを導入することができます。どちらもCBCモードの暗号化を使用し、BEAST攻撃とLucky Thirteen攻撃に対してはすでに修正されています。皮肉なことに、これらの攻撃により、多くの管理者はCBCモードではなくRC4の使用に切り替えました。TLSはインターネット・トラフィックを保護するために使用される暗号プロトコルであるため、その配備はより堅牢で、攻撃に対してより脆弱でない必要があります。この最新の発見が、より安全なバージョンを展開するよう業界を後押ししてくれることを願っています。
