〔15.3.6.日経新聞:社会1面〕
閲覧ソフト(ブラウザー)やウェブサイトに幅広く使われている暗号化ソフト「SSL」に新たな欠陥(脆弱性)が見つかった。SSLは、米アップルの閲覧ソフト「サファリ」や米グーグルの旧版の「クローム」にも使用されており、影響が広範囲に及ぶ恐れがある。攻撃者が脆弱性を悪用すれば通信内容を盗み見られるため、関係機関は注意を呼びかけている。
アップルとグーグルは来週中にも脆弱性を埋める修正パッチを利用者に配布する予定だ。
米マイクロソフトや仏国立情報学自動制御研究所(INRIA)などの研究チームが5日までに脆弱性を発見し、「フリーク」と名付けた。
情報処理推進機構(IPA)などによると、閲覧ソフトとウェブサイトを管理する「ウェブサーバー」の双方に暗号化ソフト「SSL」が組み込まれていた場合、攻撃される可能性がある。
攻撃者はまず、ウェブサイトのネット上の住所「ドメイン」を管理するサーバー「DNS」を乗っ取る。これにより、ネットバンキングなどの利用者がスマートフォン(スマホ)やパソコンの閲覧ソフトでサイトを開くと、偽サーバーや偽のWi―Fiポイントを経由させられ、IDやパスワードなど個人情報を盗み取られる。
脆弱性のあるSSLは、アップル製のiPhone(アイフォーン)、iPad、パソコンや、グーグルの基本ソフト(OS)アンドロイドが組み込まれた端末に使われている。ネットバンキングを提供する銀行のウェブサイトなどにも組み込まれている。
セキュリティー大手のトレンドマイクロの担当者は、「米マイクロソフトの閲覧ソフト『インターネットエクスプローラー(IE)』を代替で使うなどの対策が必要だ」としている。
SSLを巡っては昨年、「ハートブリード(心臓出血)」などと呼ばれる重大な脆弱性が2種類見つかった。脆弱性を悪用すれば通信内容を盗み見ることができるため、世界的にサイバー攻撃が相次いだ。
今回の脆弱性は「攻撃者にも高度な技術力が要求され、いくつかの攻撃条件がそろわなければ攻撃も難しい」(セキュリティー大手)という見解もある。
しかし、ロシアのセキュリティー大手、カスペルスキー研究所によると、既に脆弱性のあるサーバーやパソコンなどを検索するサイトを確認したといい、攻撃者がターゲットを探してる可能性がある。
閲覧ソフト(ブラウザー)やウェブサイトに幅広く使われている暗号化ソフト「SSL」に新たな欠陥(脆弱性)が見つかった。SSLは、米アップルの閲覧ソフト「サファリ」や米グーグルの旧版の「クローム」にも使用されており、影響が広範囲に及ぶ恐れがある。攻撃者が脆弱性を悪用すれば通信内容を盗み見られるため、関係機関は注意を呼びかけている。
アップルとグーグルは来週中にも脆弱性を埋める修正パッチを利用者に配布する予定だ。
米マイクロソフトや仏国立情報学自動制御研究所(INRIA)などの研究チームが5日までに脆弱性を発見し、「フリーク」と名付けた。
情報処理推進機構(IPA)などによると、閲覧ソフトとウェブサイトを管理する「ウェブサーバー」の双方に暗号化ソフト「SSL」が組み込まれていた場合、攻撃される可能性がある。
攻撃者はまず、ウェブサイトのネット上の住所「ドメイン」を管理するサーバー「DNS」を乗っ取る。これにより、ネットバンキングなどの利用者がスマートフォン(スマホ)やパソコンの閲覧ソフトでサイトを開くと、偽サーバーや偽のWi―Fiポイントを経由させられ、IDやパスワードなど個人情報を盗み取られる。
脆弱性のあるSSLは、アップル製のiPhone(アイフォーン)、iPad、パソコンや、グーグルの基本ソフト(OS)アンドロイドが組み込まれた端末に使われている。ネットバンキングを提供する銀行のウェブサイトなどにも組み込まれている。
セキュリティー大手のトレンドマイクロの担当者は、「米マイクロソフトの閲覧ソフト『インターネットエクスプローラー(IE)』を代替で使うなどの対策が必要だ」としている。
SSLを巡っては昨年、「ハートブリード(心臓出血)」などと呼ばれる重大な脆弱性が2種類見つかった。脆弱性を悪用すれば通信内容を盗み見ることができるため、世界的にサイバー攻撃が相次いだ。
今回の脆弱性は「攻撃者にも高度な技術力が要求され、いくつかの攻撃条件がそろわなければ攻撃も難しい」(セキュリティー大手)という見解もある。
しかし、ロシアのセキュリティー大手、カスペルスキー研究所によると、既に脆弱性のあるサーバーやパソコンなどを検索するサイトを確認したといい、攻撃者がターゲットを探してる可能性がある。
