2015年5月22日　COREY NACHREINER 著

大学の研究者グループが今週、Diffie-Hellman 鍵交換に関連する新たな脆弱性を発見したと発表しました。Diffie-Hellman（DH）鍵交換は、2 つのシステムが公衆通信回線経由で共有秘密鍵を用意し、それを使用して以降の通信を暗号化するという暗号化方式です。HTTPS、SMTPS、IPSec VPN、SSH、およびその他の TLS 実装を始めとする多くの暗号化プロトコルが、この方式を使用して秘密鍵を用意しています。

今回発表されたホワイトペーパーによると、Diffie-Hellman鍵交換の実装に起因する脆弱性によって、ハッカーが秘密鍵の強度を低下させ、それによって暗号の解読が容易になる可能性があります。攻撃にあたっては、ハッカーが最初に中間者攻撃（MitM）攻撃を仕掛けて標的とするシステムと他のホストとの間の通信を傍受し、操作する必要があります。通信の傍受が成功すると、秘密鍵が 512 ビットキーに制限される DHE_EXPORT 暗号を DH 鍵交換が使用するようにします。

以前に FREAK という脆弱性に関連して、輸出用の暗号についてお話したのを覚えている方がいらっしゃるかもしれません。米国はかつて（1992 年～ 2000 年）、政治的な理由から特定の国に対して強度の高い暗号を輸出することを制限していました。つまり、多くの暗号化製品を、強度を低くした暗号化スイートにして出荷する必要がありました。これは、米国政府によるクラック（解読）を容易にするためだと考えられていました。DHE_EXPORT は、DH の多くの実装に採用されている、この「強度を低くした」暗号化スイートです。処理能力が向上し、暗号化の新たな脆弱性が見つかっているという最近の現状を考慮すると、この輸出用暗号化スイートで生成される 512 ビットキーは特に脆弱であり、解読が容易であると考えられます。事実、この脆弱性を発見した研究者は、現在の 1024 ビットキーであっても政府機関の専門家によって解読される可能性があると言及しています。つまり、512 ビットキーを使って暗号化された接続では安全性が保証されないということです。

この新たに発見された DH の脆弱性は深刻な問題のように聞こえるかもしれませんが、そのリスクはそれほど高くありません。この脆弱性を攻撃するには、ネットワークトラフィックを傍受できることが必要となります。公共の場所などのワイヤレスネットワークであればトラフィックの傍受は比較的簡単かもしれませんが、有線ネットワークでは（国家機関の職員でない限り）困難です。ただし、この問題はできる限り速やかに修正したほうが良いでしょう。そこで、リスク緩和のヒントをいくつかご紹介します。

• DHE_EXPORT 暗号を無効にする。Diffie-Hellman 鍵交換を使用する製品を管理している場合、DHE_EXPORT 暗号を受け入れ可能暗号のリストから削除することをお勧めします。Web サーバ、メールサーバ、VPN 製品、SSH サーバなどの多くの製品で Diffie-Hellman 鍵交換が使用されているため、多数の製品をチェックすることになるかもしれません。ただし、多くの製造元から DHE_EXPORT 暗号を無効にするパッチが公開されることが予想されます。
• Elliptic-Curve Diffie-Hellman（ECDHE）を導入する。この新しい鍵交換方式であれば、暗号化に関連する既知の攻撃に対する脆弱性が低くなります。詳細については、今回の脆弱性を発見した研究者による導入ガイドを参照してください。
• 一定のグループについては、強力な 2048 ビットキーを使用する。DH グループに対し、強度の高い 2048 ビットキーを Web サーバに生成します。この方法についても、今回の脆弱性を発見した研究者による導入ガイドを参照してください。
• Web ブラウザをアップデートする。この記事の執筆時の段階で、Internet Explorer は、DHE_EXPORT 暗号を使用しないようにしたパッチプログラムを公開している唯一のブラウザです。Mozilla、Google、およびその他の各社からも、近日中にアップデートが公開されるものと思われます。お使いになっているブラウザのパッチが公開されたら、速やかにアップデートすることをお勧めします。
• WatchGuard の HTTPS ALG を使用する。WatchGuard XTM をご利用いただいているお客様であれば、WatchGuard の HTTPS プロキシによって、この種の攻撃からユーザが保護されます。詳細については、下記を参照してください。

ウォッチガード製品は影響を受けるのでしょうか。

お使いのウォッチガード製品への影響を心配される方も多いと思いますが、幸い、ウォッチガードのほとんどの製品はこの問題の影響を受けません。ただし、SSL VPN アプライアンスだけは例外です。各製品への影響は以下のとおりです。

• XTM アプライアンス： 影響を受けません。
• XCS アプライアンス： 影響を受けません。
• ワイヤレスアクセスポイント： 影響を受けません。
• WatchGuard Dimension： 影響を受けません。
• SSL VPN アプライアンス： 影響を受けます。
  • ウォッチガードの SSL VPN アプライアンスは DHE_EXPORT 暗号をサポートしており、デフォルトでは、Application Portal ではこの暗号を使用できませんが、Administrative Web UI では使用できます。そのため、Web UI への外部アクセスを制限するか、Application Portal で Web UI をプロキシすることで、この脆弱性を緩和できます。今後発表されるアップデートで、DHE_EXPORT 暗号が削除される予定です。

さらに重要で注目すべき点は、ウォッチガード XTM アプライアンスと併せてウォッチガード HPPS ALGアプリケーションレイヤゲートウェイ（ALG）をご利用いただくことで、Logjam 脆弱性からのユーザの保護が可能になるという事実です。ウォッチガードの HTTPS ALG は、ウォッチガードのアプライアンスを通過する HTTPS 接続を一時的に復号するため、アンチウイルスや侵入防止などのセキュリティサービスを適用することもできます。ウォッチガード HTTPS プロキシを使用して強力なパケット検査を有効にすることで、追加のセキュリティ機能を実行して DHE_EXPORT 暗号を使用できないようにすることもできます。パッチが適用されていない、強度の低い暗号をサポートする Web ブラウザをユーザが使用した場合でも、ウォッチガード HTTPS プロキシであれば、強度の低い暗号化による接続が許可されません。HTTPS ALG を XTM デバイスに構成していない場合は、構成することを検討するようお勧めします。

この脆弱性の詳細については、以下の情報を参照してください。

• Logjam に関するウォッチガードのデイリーセキュリティバイト – ウォッチガードのブログ
• Logjam の FAQ ページ – WeakDH.org
• Logjam 脆弱性に関する学術的ホワイトペーパー [PDF] – WeakDH.org
• Logjam の概念実証例 – WeakDH.org
• Logjam 緩和戦略 – WeakDH.org
• Logjam 脆弱性の報道記事 – Ars Technica
• Corey Nachreiner, CISSP
• @SecAdept