ニュース

DNSの脆弱性が影響：

OpenIDにフィッシングの危険発覚

DNSキャッシュポイズニングの脆弱性の影響で、「OpenID」の認証システムが危険にさらされているという。

　最近問題になっているDNSキャッシュポイズニングの脆弱性に関連して、シングルサインオンに使われる認証システム「OpenID」の弱点が指摘されている。

　Sun Microsystemsのロビン・ウィルトン氏は、ブログでこの問題について解説。OpenIDはDNSシステムに依存しているため、根幹となるDNSインフラがキャッシュポイズニング攻撃を受けると、OpenIDの発行や認証を担う「OpenIDプロバイダー」（OP）と、OpenID対応サイトの「Relying Parties」（RP）の間で正規サイトと偽サイトの区別ができなくなるだろうと指摘した。

　Googleのセキュリティ担当者ベン・ローリー氏とケンブリッジ大学の研究者リチャード・クレイトン氏も、この問題についてアドバイザリーを公開した。それによると、「Debian Predictable Random Number Generator」の脆弱性の影響で、さまざまなOPのTLSサーバ証明書で暗号強度の弱い鍵が使われていることが判明した。

　こうした弱いTLS認証に対応する非公開鍵を攻撃者が見つけ、偽サイトを開設して被害者のDNSキャッシュを汚染すれば、攻撃者のサーバを本物のOPのように見せかけることができてしまう。

　その結果、ユーザーがHTTPSを使っている場合でも偽サイトを見抜くことができず、ログイン情報を攻撃者に提供してしまう恐れがあるという。

　この攻撃を回避するのは極めて難しいとアドバイザリーで解説。脆弱性のあるサイトは弱い認証を無効にして、新しい証明書を発行する必要があるとしている。

過去のセキュリティニュース一覧はこちら

[ITmedia]

Copyright© 2008 ITmedia, Inc. All Rights Reserved.