| 出題者 | カテゴリ | 作成日 |
|---|---|---|
 Mr.SEQ |
ITセキュリティ&リスクマネージメント担当 | 2014-12-01 10:11:47 |
| 問題 | ヒント | 回答数 |
|---|---|---|
| ■SSLの脆弱性とは?
SSLの脆弱性が話題になっていますが、コレってどういう影響があるのか、正確に把握されていないお客様より問合せが多く来ていました。 さて、今回はこのSSLの脆弱性から課題です。 SSLの脆弱性とは、具体的に誰がどのような被害を受ける可能性があるのでしょうか? また、その対策としては、誰が何をすべきなのか? 皆さんに回答をお願いしたいと思います。 |
▼SSL 3.0 の脆弱性
https://www.ipa.go.jp/security/announce/20141017-ssl.html 対策は一つではない。というところでしょうか。 解説では、攻撃方法含めて説明したいと思います。 |
5 |
メンバーの回答一覧 お疲れ様でした!
※講師コメント詳細は冊子に掲載されています。
| なるほど 票数 |
回答 | 講師コメント |
|---|---|---|
| 1 | kaminoQ:誰がどのような被害を受ける?
A:正直よくわかっていませんが、例えば私のようなユーザーのパスワードなどの個人情報が盗まれ、勝手に買い物をされるなどの被害を受けると思いました。 または第三者が私になりすまし、犯罪を行うこともあるのではないかと思います。 Q:対策としては、誰が何をすべき? A:SSLのバージョンを更新する、脆弱性のあるバージョンを使用しない、怪しいサイトにアクセスしない??? |
なし (Mr.SEQ) 詳細は、別途書きますが今回の脆弱性では「なりすまし」によるサーバへの書き込みや逆に正規のWebサーバと思わせた偽サイトによるクライアント殻の情報搾取が可能になります。 対策としてはSSL V3を使わない、TLS1.0以上を利用する。ということが対策となります。なりすましがメインとなるので怪しいサイトも通常のサイトへのアクセスも攻撃対象にされる場合があります。 |
| 0 | heroyukeSSLの脆弱性をハッカーなどの犯罪者に利用されると、ネットワークを利用したユーザーの大事なデータが盗み出され情報が漏洩する恐れがある。
対策としては、脆弱性を発見した時点で、自分が管理しているWEBサーバーのSSLを停止。また自分が利用するサイトのSSLの使用にも気をつける。対策については継続して観察する。 |
なし (Mr.SEQ) そうですね、クライアントへの攻撃メインとなりますが、通信上の大事なデータが盗まれてしまう可能性があります。 対策についてはSSLを停止した場合、替わりの暗号対策としてTLSを利用する方向で安全を確保しましょう。 |
| 0 | YN今話題となっているSSL 3.0については、ユーザが送信したデータ(パスワードやクッキーなども含む)が攻撃者によって読み取られるリスクがある。
対策: [サーバサイド] ブラウザの開発元などから発行されたツールを使い、問題のあるSSLの無効化を行う。 [クライアント] 問題のあるSSLの無効化を行う。 また、常に、使用しているOSやブラウザ、メールソフト、ウィルス対策ソフトを最新のバージョンに更新しておくことも重要。 |
銀 (Mr.SEQ) パスワードについては特定の条件が必要ですが、書かれている通り、ユーザが送信したデータが復元され、読み取られてしまう危険性があります。 サーバサイドの対策はSSL v3を停止し、TLSを利用する。 クライアント対策はバッチリですね! |
| 0 | yukkoSSLの脆弱性とは、具体的に誰がどのような被害を受ける可能性があるのでしょうか?
ユーザーが個人情報などをウェブサイト上で入力する際に情報が流出してしまう。 また、その対策としては、誰が何をすべきなのか? SSLのバージョン確認と最新のものにバージョンアップをする。サーバーを自社で管理していない場合はサーバー管理会社へ連絡をして脆弱性を解消してもらう。 |
銅 (Mr.SEQ) 被害については書かれている通りです。 対策についてはサーバ、クライアント双方での対策が必要となります。 |
| 0 | gabber1090SSLの脆弱性とは、具体的に誰がどのような被害を受ける可能性があるのでしょうか?
⇒ウェブサイトを利用するユーザーがそのサイトでフォームなどから送信する個人情報。 また、その対策としては、誰が何をすべきなのか? ⇒SSLの脆弱性が無いかチェックしてSSLのバージョンを上げるなどの対策を取る=サーバ管理者、SSLの脆弱性を自分で対応できない共有サーバを利用しているなどの場合にはサーバ管理会社やサービス提供元へ連絡する=ウェブ担当者、SSL自体の再発行をする=SSL発行元 |
銅 (Mr.SEQ) 被害については書かれている通り、ユーザが送受信する情報が盗聴されてしまいます。 対策についてもおっしゃる通りなのですが、補足するとSSLはやめましょう、TLSへの以降を推奨します、といったところでしょうか。 |