iOS 8.2がリリースされた。担当編集者から「急ぎアップデートする必要があるか、あるとすれば理由はなにか」について説明してほしいという依頼を受けたため、ここに私見を述べる。結論からいうと、『できるだけ迅速にアップデートすべし、理由は「FREAK」』だ。
FREAK(Factoring RSA Export Keys)は、SSL(Secure Socket Layer)とTLS(Transport Layer Security)における脆弱性の通称だ。この脆弱性が外部から突かれると、512ビット以下という強度の低い暗号(RSA Export Suites)を利用できるようになり、それが解読されてしまうと通信傍受などの被害を受ける危険性が高まる。
RSA Export Suitesは、かつてソフトウェアの利用条件に米国政府が採用するほど強固な存在だったが、コンピュータの処理能力が向上した結果、現在では数時間もあれば暗号鍵を解くことが可能だという。セキュリティ大手Trend Micro社のブログによれば、「クラウドサービスを利用すれば、復号に十分なリソースがわずか100米ドルで簡単に入手可能」とのことで、悪用される可能性はありそうだ。
Appleは、iOSおよびOS Xに「SecureTransport」というSSL 3.0互換のセキュリティAPIを用意している。セキュアな通信機能を必要とするアプリに限らず、システムの広い範囲で利用されているため、今回確認された脆弱性による悪影響は避けられない。 FREAKは旧いバージョンのSSL/TLS実装において存在し、FREAK対策を施した最新バージョンにアップデートすることで、そのセキュリティホールを"塞ぐ"ことができる。iOS 8.2には、そのSSL/TLS対策が含まれるため、できるかぎり迅速にアップデートを実施すべきだ。
iPhone 5s/iOS 8.1.3でFREAKアタックの検証サイト「Tracking the FREAK Attack」にアクセスしたところ。FREAKの脆弱性が存在することがわかる |
iOS 8.2にアップデートしたiPhone 6で「Tracking the FREAK Attack」にアクセスしたところ。FREAKの脆弱性は解消されている |
ところで、利用しているシステムにFREAKが存在するかどうかは、FREAKアタックの検証サイト「Tracking the FREAK Attack」で確認できる。iOS 8.1.xのSafariでこのサイトにアクセスすれば、赤い背景に「Warning! Your browser is vulnerable to the FREAK attack」というメッセージが表示されるはずで、iOSにFREAK問題があることを確認できる。