NICT、SSLの脆弱性を検証するシステム「XPIA」を開発……脆弱なSSLサーバを特定 | RBB TODAY

NICT、SSLの脆弱性を検証するシステム「XPIA」を開発……脆弱なSSLサーバを特定

エンタープライズ セキュリティ

「XPIA」による脆弱性分布の表示例(左:日本側から、右:米国側から、共通する素数が共有されて危険な状態になっているSSLサーバ間が、赤い線で結ばれている)
  • 「XPIA」による脆弱性分布の表示例(左:日本側から、右:米国側から、共通する素数が共有されて危険な状態になっているSSLサーバ間が、赤い線で結ばれている)
  • 「XPIA」におけるRSA公開鍵の解析方法の概要
 情報通信研究機構(NICT)は10月22日、「SSL」(Secure Socket Layer)の脆弱性を検証するシステム「XPIA」(エクスピア)を構築したことを発表した。

 「SSL」は、電子政府システム、インターネットバンキング、オンラインショッピングなど、広く普及しているセキュリティシステムで、インターネット上での安全な通信を支える技術となっている。一方で、2012年に、SSLに対する新しい脅威が報告された。

 SSLでは、通信相手のサーバが本物であるかどうかの確認(認証)などに公開鍵暗号「RSA」が利用されているが、昨年、ヘニンガーとレンストラのチームによって、乱数の偏り等が原因で、同じ秘密鍵(素数)を含む公開鍵が多数生成され、SSLサーバ証明書に組み込まれて利用されていることが報告された。2つのRSA公開鍵に同じ秘密鍵が含まれていた場合、最大公約数を求めることで簡単にその秘密鍵が暴かれ、SSLサーバ証明書の偽造などが可能になるという。この結果、世界中のSSLサーバの0.4%に当たる2万台以上が危険な状態にあることが判明した。

 「XPIA」は、SSLサーバの公開鍵証明書について、そのセキュリティ上の脆弱性を検証するシステムだ。XPIAにより、公開鍵証明書の脆弱性を速やかに検証できるとともに、脆弱なSSLサーバを特定し、分布状況を把握することが可能になる。

 今回、XPIAを用いてSSLサーバから収集した公開鍵証明書から抽出したRSA公開鍵の脆弱性を検証したところ、少なくとも世界中で2,600台を超えるSSLサーバが脆弱な公開鍵を現時点でも利用していたとのこと。また調査範囲内では、インターネットバンキングやオンラインショッピングなどのサービスサイトは見つか羅なかった。

 本成果は、日本の電子政府等において、暗号技術を安全に利用するための指針として活用される予定。
《冨岡晶》

関連ニュース

特集

page top