SSLの脆弱性を突く「BEAST攻撃」って何だ?

この記事をtweetする このエントリーをはてなブックマークに追加

流行りモノから新技術まで! 5分でわかる最新キーワード解説

SSLの脆弱性を突く「BEAST攻撃」って何だ?

2012/01/25


 日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。
 今回のテーマ、「BEAST攻撃」は、Webでのセキュアな通信を支える暗号化通信の基盤技術であるSSL/TLSの脆弱性を利用して、通信の盗聴とアカウントの乗っ取りを実現してしまう高度な攻撃方法。インターネットの商業利用の信頼性を揺るがす危険性を秘めており、全世界が緊張を高めた攻撃手法です!

BEAST

※「BEAST/SSLの脆弱性を突く「BEAST攻撃」って何だ?」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「BEAST/SSLの脆弱性を突く「BEAST攻撃」って何だ?」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1

SSL/TLSの脆弱性を突く「BEAST」とは?

 「BEAST」とは「Browser Exploit Against SSL/TLS」の略で、Juliano Rizzo氏とThai Duong氏という2人のセキュリティ研究者によって、昨年秋開催のセキュリティ会議「ekoparty」においてデモンストレーションされた暗号化通信に対する新たな攻撃手法だ。

1-1

BEAST攻撃のデモンストレーション

 デモンストレーションではたまたま「Paypal」のアカウントを対象に実験が行われたが、理論的には暗号化通信にSSL 3.0及び、その後継のTLS 1.0のブロック暗号を利用するあらゆるWebサイトへのアクセスに適用が可能な攻撃手法である。
 SSL/TLSにおいては、ブラウザとサーバの両方が対応する複数の暗号化技術の中から、優先順位が高いものを選択して利用する。中でも広く普及するAESのようなブロック暗号の用いるCBC(cipher block chaining)というモードの実装上の脆弱性と、未知のバイト列を絞った「選択平文攻撃」という手法をたくみに組み合わせたのがBEASTの特長である。
 これらの脆弱性はどれも既知のものであり、危険度は低いものなのだが、特定の条件下であれば、短時間にアカウント認証に用いるブラウザクッキーの復号化に成功することがデモンストレーションにより証明されたことは、全世界に大きな衝撃を与えた。

図1 BEASTとは?
図1 BEASTとは?

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

キーマンズポイントで今応募できるプレゼントはこちら!(2017/12/31まで)

ITキャパチャージに解答いただくとポイントがたまります。
たまったポイント数に応じて、以下、A〜E賞の各賞品に応募することができます。

●B賞:抽選で1名様
 ふとん暖め乾燥機 FD-F06X2  
●A賞:抽選で1名様
 アイロボット ロボット掃除機 ルンバ875A 
●C賞:抽選で1名様
 ケルヒャー高圧洗浄機 K 2 クラシック プラス 
●D賞:抽選で1名様
 選べる宿泊ギフト(とっておきの宿)30500円コースで選べる魅力的な温泉宿 
●E賞:抽選で5名様
 Amazon 使える商品は1億種以上「Amazonギフト券 5000円分」 

このページの先頭へ
関連キーワード

BEAST/SSLの脆弱性を突く「BEAST攻撃」って何だ?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「BEAST」関連情報をランダムに表示しています。

BEAST」関連の製品

クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】
WAF
顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。

BEAST」関連の特集


あまり意識しないSSLサーバー証明書の運用管理。1024ビット鍵長の公開鍵とSHA-1ハッシュアルゴ…



偽SSL証明書などの事件が取り沙汰される昨今。どうすれば安全な通信ができるのか…SSL証明書への攻撃…


「暗号化」関連の製品

フルディスク暗号化ソリューション:SecureDoc 【ウィンマジック・ジャパン】 暗号化/マルウェア対策/ランサムウェア対策 秘文 Data Encryption 【日立ソリューションズ】 Linuxサーバデータ暗号化ソリューション SERVER GENERAL 【ソフトエイジェンシー】
暗号化 暗号化 暗号化
OSやシステムファイルを含むハードディスク全体を暗号化。暗号化後のパフォーマンスに優れ、認証ツール(トークン)にも対応するなど、ニーズに合わせた柔軟な運用が可能。 PCや記録メディア、ファイルサーバのデータを暗号化。
安全性が確認できるプログラムのみ、機密データやOS管理領域へのアクセスを許可する。
導入も簡単で透過的な、Linuxサーバデータ暗号化ソリューション。
鍵管理や権限別アクセス管理などが容易に実現でき、情報セキュリティの運用負荷を大幅に軽減する。

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

BEAST/ SSLの脆弱性を突く「BEAST攻撃」って何だ?」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「BEAST/ SSLの脆弱性を突く「BEAST攻撃」って何だ?」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30004493


IT・IT製品TOP > エンドポイントセキュリティ > 暗号化 > 暗号化のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ