ニュース

【ニュース】1月6日(火) SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用

投稿日:

 Webサイトの信用証明に使われるハッシュ関数アルゴリズム「MD5」の脆弱性を突いて、認証局(CA)が発行するSSL証明書を偽造することに、セキュリティ研究者が成功した。US-CERTや米Microsoftは、MD5はもはや安全ではないと指摘して利用中止を促している。

 US-CERTなどによると、MD5の弱点を用いた衝突攻撃の理論は1996年から指摘されていたが、現実的な攻撃方法は示されていなかった。しかし、2008年末のセキュリティカンファレンスで、信頼されている認証局のSSL証明書を偽造できることが実証された。

 大半のOSには信頼できる認証局の一覧が組み込まれており、この中には署名アルゴリズムにMD5を使っている認証局もある。攻撃者がその脆弱性を悪用すれば、主要ブラウザが認定している認証局の証明書を偽造し、悪質なWebサイト向けに有効なSSL証明書を発行できてしまう。ユーザーはSSL証明書を信じて悪質なサイトを正規のサイトだと思い込み、重要情報などを入力してしまう恐れがある。

不正サイトでの悪用も:SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用 - ITmedia News

-ニュース

Copyright© 株式会社きむらパソコン , 2024 All Rights Reserved.