暗号専門家らは、1990年代に遡るセキュリティ上の欠陥により、OS X、iOS、AndroidのユーザーがAmerican Express、Airtel、Bloomberg、Business Insider、Groupon、Marriottなどを含む大手ウェブサイトにアクセスする際にハッキング攻撃の危険にさらされていることを発見した。

FREAKエクスプロイトは、攻撃者がウェブサイトのHTTPS接続に低レベルの暗号化を強制的に使用させることを可能にします。わずか75台のコンピューターからなる小規模なボットネットであれば、数時間以内に解読可能です。解読されると、攻撃者はウェブサイトをハッキングし、サイト訪問者の個人情報を盗むことも可能になります… 

 ワシントンポスト紙の報道によると、この弱点は1990年代に遡る米国政府の政策によるものだという。

この問題を発見した研究者によると、この欠陥は、強力な暗号の輸出を禁じ、より弱い「輸出グレード」の製品を他国の顧客に出荷することを義務付けた、かつての米国政府の政策に起因している。これらの制限は1990年代後半に解除されたが、弱い暗号は広く使用されているソフトウェアに組み込まれ、世界中に拡散し、米国にも持ち込まれた。どうやら今年まで気づかれていなかったようだ。

FREAKは、攻撃手法「Factoring RSA-EXPORT Keys（RSA輸出鍵の因数分解）」の略称です。パッチ未適用のOpenSSLを使用しているブラウザはすべて危険にさらされており、MacとiOSの両方のSafariも含まれます。

皮肉なことに、FBI、ホワイトハウス、NSAのサイトはすべて脆弱でしたが、  Re/codeによると、前者2つはその後修正されました。この脆弱性の影響を受ける上位サイトのリストは膨大です。アクセスするサイトが危険にさらされているかどうかを確認するには、ドメインリスト全体を検索してください。

Apple はこの問題を認識しており、 来週には修正プログラムを公開する予定だとRe/codeに伝えている。

アップルの広報担当ライアン・ジェームズ氏は、同社がこの脆弱性を修正するソフトウェアアップデートを開発しており、来週にはリリースされる予定だと述べた。

悪意のある人物がこの脆弱性を悪用したかどうかは不明なので、リスクはおそらく低いですが、少なくとも金融取引やその他の機密性の高い活動に使用する Web サイトをチェックすることをお勧めします。

画像: idigitaltimes.com

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。