ここから本文です

13年前に発見された脆弱性が、いまもアプリやIoT製品に潜んでいた

9/5(木) 12:23配信

WIRED.jp

データの暗号化を回避したり危害を加えたりする新しい方法を、ハッカーは常に探そうとしている。ところが、なんと10年以上も前に発見された暗号化の脆弱性がいまだに健在だったという事実が、このほど報告された。

IoT機器の深刻な脆弱性が、長い“潜伏期間”を経て表面化し始めた

問題は「実装方法」にあり

この驚くべき事実は、ラスヴェガスで2019年8月上旬に開催されたサイバーセキュリティのカンファレンス「Black Hat」で、パデュー大学のチャウ・シーイウによって報告された。

この脆弱性はRSA暗号に関連したものだという。RSAはウェブブラウザーやVPN、メール、メッセージアプリなど、あらゆるものを守るために使われている暗号化アルゴリズムおよび暗号システムだ。ただし、問題があるのはRSAの仕様そのものではない。一部の企業におけるRSAの実装方法にある。

チャウの研究は、署名を検証するためのRSA暗号設定でみられる欠陥を重点的に調べたものだ。署名検証とは、“署名された”暗号化データのチャンクが、実際に送信者によって検証されたことをチェックし、署名が不正に改ざんされたり操作されたりしていないことを確実にするための処理である。

強力な署名検証がないと、第三者がデータを操作したり、信頼できる作成元からのデータを装って偽データを送信したりできてしまう。実績豊富なスイス人暗号学者で現在はグーグルに勤めるダニエル・ブライシェンバッハは、06年の暗号カンファレンス「CRYPTO」でこうしたRSA署名検証の脆弱性を初めて立証した。

「古くからあるこの問題が、さまざまなライブラリやセッティングでいまもわたしたちを悩ませているという事実は驚くに値します」と、パデュー大学のチャウは語る。「13年経ったいまも、これが避けるべき問題であることが認識されていません。問題はまだ続いているのです。だからこそ、この研究をBlack Hatで発表したいと思いました。問題を認識していることは重要です。わたしたちは互いのミスから学ぶ必要があります」

1/2ページ

最終更新:9/5(木) 12:23
WIRED.jp

こんな記事も読まれています

あなたにおすすめの記事