2015/07/20

Hacking Team のニュースに関する最新情報、RC4 の弱点 – WSWiR テキスト版

オフィス Office 窓 窓際 植物

RC4 の致命的な弱点、ホワイトハウスのセキュリティ対策

2015 年 7 月 20 日 COREY NACHREINER 著

先週は、イギリスで開催された WatchGuard のパートナーカンファレンスに参加したために、デイリーセキュリティバイトのビデオを 2 回しか投稿できず、1 週間のニュースをまとめてご紹介するビデオも省略させていただきましたが、情報セキュリティ関連の興味深いニュースがたくさん報道されました。そこで、特に重要なニュースを皆さんにご紹介したいと考え、急遽、1 週間のニュースの中から次の 3 つのニュースをお伝えすることにしました。

  1. Hacking Team のデータ流出に関する最新情報:先週は、Hacking Team のネットワークからの 400GB のデータ流出に関して、たくさんの事実が明らかになりました。たとえば、当初の予想よりも多くのゼロデイ脆弱性が使用され、BGP 脆弱性が中間者攻撃に使用されていたことや、FBI と DEA(麻薬取締局)が Tor ユーザーを監視していたこともわかりました。情報セキュリティ関連のこの事件に注目されている方であれば、Hacking Team から漏えいしたメールがウィキリークスによって公開されるというニュースも目にされたことでしょう。Hacking Team のこのニュースに関連する続報は、下記に記載する参照情報のリンクからご確認ください。
  2. ホワイトハウスがサイバーセキュリティ対策を大々的に宣伝:ホワイトハウスは先週、米国政府機関による今年の国家サイバーセキュリティ対策強化の全容を詳しく解説した、サイバーセキュリティ概況報告書を発表しました。注目すべき点としては、サイバーセキュリティ対策を専門とする新組織の設立、政府機関および一般企業における脅威情報共有の推進などが挙げられます。詳細は、参照情報でご紹介している記事をご覧ください。
  3. RC4 にさらなる致命的な欠陥:RC4 は数十年にわたって広く利用されてきたハッシュアルゴリズムですが、この数年間でこの古い機能に多くの脆弱性があり、不備があることがわかりました。多くのセキュリティ専門家が、RC4は今や実用に耐えないと考えており、新しい研究論文[PDF]でRC4のさらなる弱点が指摘されています。詳細は割愛しますが、この新たに発見された弱点によって、数か月ではなく数日で攻撃者にRC4を解読されてしまう可能性があります。RC4をお使いになっている方には、他の方法への移行をお勧めします。

以上が、この 1 週間にお届けできなかった主なトピックですが、これ以外にも多くのニュースが報道されました。参照情報のセクションにリンクを記載しますので、ご活用ください。今週は、通常通りのスケジュールでデイリーセキュリティバイトのビデオをお届けする予定です。

参照情報:

Corey Nachreiner、CISSP@SecAdept