トップページ > 最新情報 > Safariで閲覧すると個人情報が抜き取られる?アップル緊急声明

読了まで 217

Safariで閲覧すると個人情報が抜き取られる?アップル緊急声明

Twitter

Twitter

pocket

Pocket

safari ハッキング
 
アップル製品のSafariや、Android端末で使用可能な一部のブラウザでネットを閲覧すると、その脆弱性を利用して、ハッカーから攻撃を受ける可能性があることが判明しました。アメリカ政府の政策条項が20年近くそのまま放置されていたことが原因とされ、サイト運営者やブラウザメーカーは早急の対応に追われています。

20年前の遺物が原因


safari ハッキング
 
この攻撃は、RSA輸出キーに対するファクタリング・アタック(Factoring attack on RSA-EXPORT Keys)のアルファベットにちなんで、FREAKアタックと呼ばれています。
 

1990年代には、国家安全保障局(NSA)が海外のネットワークを傍受出来るようにするため、暗号プログラムを実装したソフトウェアを海外に輸出する際には、意図的に暗号セキュリティを弱めなければならないとされていました。この弱められた暗号セキュリティの鍵となるのが、RSA輸出キーです。
 

その後、時代の変遷とともにこの規制は解除されましたが、一部のウェブサイトのサーバーやウェブブラウザが、相変わらずRSA輸出キーを粛々とサポートし続けていたため、今回の問題が発覚しました。

 

攻撃の実証を行った専門家によれば、暗号化を実装しているサイトの3分の1が、セキュリティ面で脆弱な状況にあるとされており、FacebookやIBM、American Express、Groupon、Mariottホテル、挙句の果てにはSymantecやNSAにいたるまで、様々なサイトのサーバーに、RSA輸出キーをサポートする脆弱性が見つかったとのことです。

サーバーとブラウザが特定の条件下にあると攻撃される

仕組みとしては、ユーザーがSafariでサイトを閲覧した際、ハッカーが中間攻撃者として、サーバーに対するSafariからの通信要求を改ざんすると、それに対してサーバーが脆弱性のあるRSA輸出キーで返してくるため、このキーを受け入れてしまうSafariでサイト閲覧を行ったユーザーの情報が、結果としてハッカーに筒抜けになってしまうというものです。
 

サイトのあるサーバーと、ユーザーが使用するブラウザが、ともにRSA輸出キーをサポートしていないと攻撃はなされないため、アップルは1週間程度で対策パッチを提供することを即座に発表しました。
 

なお、Google ChromeやFirefox、Microsoftのウェブブラウザでは、こういった現象は確認されていないそうです。
 
 

参照元:The GuardianWashington Post
執 筆:kihachi

--PR--

[公式] - 新発売 iPhoneX/8/Plusの予約はオンラインで確実に!


→ ソフトバンクオンラインショップ


→ auオンラインショップ


→ ドコモオンラインショップ

カテゴリ : 最新情報  タグ : , , , , ,
いつもシェアありがとうございます
Twitter

Twitter

pocket

Pocket

▼ 最新情報を受け取る

Twitterで最新情報をみる
Facebookで最新情報をみる
IMアプリをインストールする
feedlyで最新情報をみる