SSLの脆弱性を突く「BEAST攻撃」って何だ?

この記事をtweetする このエントリーをはてなブックマークに追加

流行りモノから新技術まで! 5分でわかる最新キーワード解説

SSLの脆弱性を突く「BEAST攻撃」って何だ?

2012/01/25


 日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。
 今回のテーマ、「BEAST攻撃」は、Webでのセキュアな通信を支える暗号化通信の基盤技術であるSSL/TLSの脆弱性を利用して、通信の盗聴とアカウントの乗っ取りを実現してしまう高度な攻撃方法。インターネットの商業利用の信頼性を揺るがす危険性を秘めており、全世界が緊張を高めた攻撃手法です!

BEAST

※「BEAST/SSLの脆弱性を突く「BEAST攻撃」って何だ?」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「BEAST/SSLの脆弱性を突く「BEAST攻撃」って何だ?」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1

SSL/TLSの脆弱性を突く「BEAST」とは?

 「BEAST」とは「Browser Exploit Against SSL/TLS」の略で、Juliano Rizzo氏とThai Duong氏という2人のセキュリティ研究者によって、昨年秋開催のセキュリティ会議「ekoparty」においてデモンストレーションされた暗号化通信に対する新たな攻撃手法だ。

1-1

BEAST攻撃のデモンストレーション

 デモンストレーションではたまたま「Paypal」のアカウントを対象に実験が行われたが、理論的には暗号化通信にSSL 3.0及び、その後継のTLS 1.0のブロック暗号を利用するあらゆるWebサイトへのアクセスに適用が可能な攻撃手法である。
 SSL/TLSにおいては、ブラウザとサーバの両方が対応する複数の暗号化技術の中から、優先順位が高いものを選択して利用する。中でも広く普及するAESのようなブロック暗号の用いるCBC(cipher block chaining)というモードの実装上の脆弱性と、未知のバイト列を絞った「選択平文攻撃」という手法をたくみに組み合わせたのがBEASTの特長である。
 これらの脆弱性はどれも既知のものであり、危険度は低いものなのだが、特定の条件下であれば、短時間にアカウント認証に用いるブラウザクッキーの復号化に成功することがデモンストレーションにより証明されたことは、全世界に大きな衝撃を与えた。

図1 BEASTとは?
図1 BEASTとは?

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

キーマンズポイントで今応募できるプレゼントはこちら!(2016/12/31まで)

ITキャパチャージに解答いただくとポイントがたまります。
たまったポイント数に応じて、以下、A〜E賞の各賞品に応募することができます。

●B賞:抽選で1名様
 象印マホービン 圧力IH炊飯ジャー「極め炊き NP-YB10」 
●A賞:抽選で1名様
 HUAWEI Windows 10 Pro搭載 2in1デバイス「HUAWEI MateBook M3」 
●C賞:抽選で1名様
 iRobot 床拭きロボット「ブラーバ ジェット240」 
●D賞:抽選で1名様
 プリンセス 大皿みたいな白いホットプレート「Table Grill Pure」 
●E賞:抽選で2名様
 ASUS 毎日の健康をスマートに記録「VivoWatch」 

このページの先頭へ
関連キーワード

BEAST/SSLの脆弱性を突く「BEAST攻撃」って何だ?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「BEAST」関連情報をランダムに表示しています。

BEAST」関連の製品

クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】
WAF
顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。

BEAST」関連の特集


あまり意識しないSSLサーバー証明書の運用管理。1024ビット鍵長の公開鍵とSHA-1ハッシュアルゴ…



偽SSL証明書などの事件が取り沙汰される昨今。どうすれば安全な通信ができるのか…SSL証明書への攻撃…


「暗号化」関連の製品

Windows/Linux 向け暗号化ソリューション SecureDB for SME 【セキュア・ディー・ビー・ジャパン】 nShield HSM ファミリー 【タレスジャパン】 payShield HSM ファミリー 【タレスジャパン】
暗号化 暗号化 暗号化
DBからの情報漏えい対策に特化した暗号化ソリューション。導入時、DBやアプリケーションの変更が不要。稼働時にパフォーマンスに影響をほとんど与えない。 鍵のライフサイクル管理と暗号処理。信頼の要となる鍵をソフトウエアから分離して強力に保護することが可能。HSMの導入、強固な鍵管理により企業の「信頼」を守る。 カード発行・決済取引に特化したアプリケーションと組み合わせて利用するHSM。国際ブランドはもちろんEMV・PCI・Global Platformなど金融関連のセキュリティ標準を満たす。

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

BEAST/ SSLの脆弱性を突く「BEAST攻撃」って何だ?」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「BEAST/ SSLの脆弱性を突く「BEAST攻撃」って何だ?」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30004493


IT・IT製品TOP > エンドポイントセキュリティ > 暗号化 > 暗号化のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ