情報処理安全確保支援士 2014年 春期 午前2 問17
問題文
SSLに対するバージョンロールバック攻撃の説明はどれか。
選択肢
ア:SSLの実装の脆弱性を用いて、通信経路に介在する攻撃者が、弱い暗号化通信方式を強制することによって、暗号化通信の内容を解読して情報を得る。(正解)
イ:SSLのハンドシェイクプロトコルの終了前で、使用暗号化アルゴリズムの変更メッセージを通信経路に介在する攻撃者が削除することによって、通信者が暗号化なしでセッションを開始し、攻撃者がセッションの全通信を盗聴・改ざんする。
ウ:SSLを実装した環境において、攻撃者が物理デバイスから得られた消費電流の情報などを利用して秘密情報を得る。
エ:保守作業のミスや誤操作のときに回復できるようにバックアップしたSSLの旧バージョンのライブラリを攻撃者が外部から破壊する。
SSLに対するバージョンロールバック攻撃の説明はどれか。【午前2 解説】
正解の理由
アは「通信経路に介在する攻撃者が弱い暗号化通信方式を強制する」点を示しており、これはバージョンロールバック攻撃(プロトコルフォールバック攻撃)の典型的説明です。SSL/TLSではクライアントとサーバが使用するプロトコルバージョンや暗号スイートをハンドシェイクで合意しますが、中間者がこの交渉を改ざんして古い/脆弱な方式へ落とし、解析や鍵回復を容易にします。過去には「POODLE」や「FREAK」など、フォールバックや弱い暗号を利用する実例があります。
解法ステップ
- 問題文のキーワード「バージョンロールバック」を確認する。
- 各選択肢が「通信経路でのネゴシエーション改ざんによる暗号強制か」を判断する。
- サイドチャネル(物理的測定)や運用ミスによる攻撃は除外する。
- 暗号無効化(暗号化なしでの開始)は別攻撃カテゴリとして区別する。
- 上記に該当する選択肢を選ぶ(ア)。
選択肢別の誤答解説
- ア: 正解。中間者が弱い暗号へフォールバックさせ、復号や攻撃を容易にする典型例。
- イ: 誤り。ハンドシェイク中のメッセージ削除で暗号なしにする行為は「ダウングレード」や「中間者による妨害」だが、通常のバージョンロールバックの定義(古いバージョンや弱暗号へ強制)とは異なる。暗号化を完全に無効化する説明で、表現が過度に極端かつ具体性が違う。
- ウ: 誤り。消費電流や電磁波などを使うのはサイドチャネル攻撃で、プロトコルのバージョン交渉を改ざんするロールバックとは別カテゴリ。
- エ: 誤り。バックアップライブラリの破壊は可用性・運用ミスに関する攻撃であり、バージョンを通信で強制する攻撃とは無関係。
よくある誤解
- 「バージョンロールバック=物理的な情報取り出し」:消費電流やサイドチャネル攻撃(選択肢ウ)は別カテゴリであり、バージョンロールバックではありません。
- 「ロールバックはサーバ内ファイルやライブラリの破壊を指す」:エのようなバックアップ破壊は可用性や改ざんの問題で、バージョンフォールバックとは異なります。
- 「暗号なしでのセッション開始が常にロールバック」:イはハンドシェイク前のメッセージ削除により暗号化を無効化する説明で、典型的なロールバックの定義から外れます(仕様上のネゴシエーション改ざんとは異なる振る舞いです)。
補足コラム
バージョンロールバック攻撃は「フォールバック機能」が原因で起こることが多いです。互換性確保のために古いプロトコルを受け入れる実装が存在すると、攻撃者は中間者として両端の要求・応答を改竄し、古いバージョンや弱い暗号へ落とします。対策としては、TLSのバージョンや暗号スイートを厳格に制限する、TLS_FALLBACK_SCSVのようなフォールバック検出機構を導入する、最新のプロトコル(TLS 1.2/1.3)と強力な暗号を優先することが重要です。
FAQ
Q1: TLS 1.3でもロールバック攻撃は起きますか?
A1: TLS 1.3では設計上多くのダウングレード攻撃耐性が組み込まれていますが、実装やフォールバック機構が誤っていると影響を受ける可能性があります。常に最新の勧告・ライブラリ適用が必要です。
A1: TLS 1.3では設計上多くのダウングレード攻撃耐性が組み込まれていますが、実装やフォールバック機構が誤っていると影響を受ける可能性があります。常に最新の勧告・ライブラリ適用が必要です。
Q2: POODLEやFREAKはロールバック攻撃と同じですか?
A2: POODLEはSSL 3.0の脆弱性を利用してフォールバック経路を突く事例で、ロールバック/ダウングレード系の代表例です。FREAKは弱いRSA鍵への誘導や暗号強度を落とす攻撃で、広義のダウングレードに含められます。
A2: POODLEはSSL 3.0の脆弱性を利用してフォールバック経路を突く事例で、ロールバック/ダウングレード系の代表例です。FREAKは弱いRSA鍵への誘導や暗号強度を落とす攻撃で、広義のダウングレードに含められます。
Q3: 開発者側の簡単な対策は?
A3: 古いプロトコルの無効化、強力な暗号スイートの優先、フォールバック検出(TLS_FALLBACK_SCSV)の実装、ライブラリの最新版適用を行ってください。
A3: 古いプロトコルの無効化、強力な暗号スイートの優先、フォールバック検出(TLS_FALLBACK_SCSV)の実装、ライブラリの最新版適用を行ってください。
関連キーワード: SSL/TLS、ダウングレード攻撃、フォールバック、中間者攻撃、TLS_FALLBACK_SCSV、POODLE、FREAK

\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

