こんにちは。安全確保支援士の勉強をしているカーシュン。です。
youtubeはこちら。

毎日読むだけで知った気になれるIT日記、第16回はダウングレード攻撃について。

安全確保支援士の勉強で知ったダウングレード攻撃。
とりあえずグレードをダウンさせるんだろうなという印象だけはしっかり感じるシンプルな名前。

でも何のグレードをダウンさせるの？何のためにするの？と言った部分をもっと詳しく知るためにAI先生にお聞きしました。

ぜひ知った気になっていってください。

Q. ダウングレード攻撃ってなに？

A. ダウングレード攻撃について、わかりやすく説明します。

1. ダウングレード攻撃とは？

ダウングレード攻撃とは、通信の安全性を確保するためのプロトコルや暗号化方式を、攻撃者が意図的に古く、脆弱なバージョンに変更させることで、通信内容を盗聴や改ざんする攻撃方法のことを指します。

例えば、あるシステムが最新の安全な暗号化方式を使用している場合でも、ダウングレード攻撃により、古い脆弱な暗号化方式に変更させられると、攻撃者は容易に通信内容を解読することができます。

2. なぜダウングレード攻撃が可能なのか？

多くのシステムやプロトコルは、後方互換性を保つために、古いバージョンのプロトコルや暗号化方式もサポートしています。これにより、新旧のシステム間でも通信が可能となります。しかし、この後方互換性が、ダウングレード攻撃の原因となることがあります。

攻撃者は、通信の初期段階で介入し、古いバージョンのプロトコルや暗号化方式を使用するように通信相手に伝えることで、ダウングレード攻撃を実行します。

3. ダウングレード攻撃の具体的な例

一つの具体的な例として、SSL/TLSプロトコルのダウングレード攻撃が挙げられます。SSL/TLSは、インターネット上での安全な通信を実現するためのプロトコルです。しかし、古いバージョンのSSLは脆弱性が存在し、攻撃者に利用されることが知られています。

攻撃者は、通信の初期段階でサーバーとクライアントの間に介入し、古いバージョンのSSLを使用するようにクライアントに伝えます。これにより、クライアントは古いバージョンのSSLで通信を開始し、攻撃者は通信内容を盗聴することができます。

また、ダウングレード攻撃の歴史は、暗号技術とその脆弱性の発展とともに進化してきました。以下に、ダウングレード攻撃の歴史とその背景について詳しく解説します。

ダウングレード攻撃の起源

ダウングレード攻撃の起源は、暗号プロトコルの初期の段階に遡ります。暗号プロトコルは、時間とともに進化し、新しいバージョンがリリースされるたびにセキュリティが強化されてきました。しかし、互換性のために古いバージョンのプロトコルもサポートされ続けることが多く、これがダウングレード攻撃の原因となりました。

SSLと初期のダウングレード攻撃

SSL（Secure Sockets Layer）は、1990年代初頭にNetscapeによって開発されました。SSLの初期のバージョンは、いくつかの脆弱性を持っていました。これらの脆弱性を修正するために、新しいバージョンのSSLがリリースされましたが、多くのサーバーとクライアントは古いバージョンもサポートしていました。攻撃者は、この互換性を利用して、通信を古いバージョンのSSLにダウングレードすることで、脆弱性を利用した攻撃を行うことができました。

TLSの登場とダウングレード攻撃の進化

SSLの後継として、TLS（Transport Layer Security）が開発されました。TLSは、SSLの脆弱性を修正し、セキュリティを強化することを目的としています。しかし、多くのサーバーとクライアントは、互換性のために古いバージョンのSSLと新しいバージョンのTLSの両方をサポートしていました。攻撃者は、この互換性を利用して、通信を古いバージョンのSSLにダウングレードすることで、脆弱性を利用した攻撃を行うことができました。

Q. ダウングレード攻撃の実例をおしえて

A. ダウングレード攻撃は、過去数年間で多くのセキュリティ研究者や専門家の注目を集めてきました。この攻撃は、古いプロトコルや暗号化方式の脆弱性を利用して、通信の安全性を低下させることを目的としています。以下に、ダウングレード攻撃による実際の被害例を詳しく解説します。

1. POODLE攻撃

• 概要:
  POODLE（Padding Oracle On Downgraded Legacy Encryption）攻撃は、2014年に発表されたSSL 3.0の脆弱性を利用した攻撃です。この攻撃は、CBCモードの暗号化の脆弱性を利用して、セッションクッキーなどの重要な情報を盗むことを目的としています。

• 被害の詳細:
  POODLE攻撃の背後にある主な脆弱性は、SSL 3.0のパディング方式にあります。攻撃者は、この脆弱性を利用して、暗号文の一部を変更し、復号結果を予測することができます。具体的には、攻撃者は多数のリクエストを送信し、復号結果の変化を観察することで、セッションクッキーの内容を1バイトずつ推測していきます。この攻撃により、攻撃者はユーザーのセッションを乗っ取り、機密情報にアクセスすることができます。

• 対策:
  POODLE攻撃を防ぐための主な対策は、SSL 3.0の使用を停止することです。多くのウェブサイトやブラウザは、この攻撃を受けた後、SSL 3.0のサポートを終了しました。また、TLS_FALLBACK_SCSVという特別なシグナルを使用して、ダウングレード攻撃を検出することも可能となりました。

2. Logjam攻撃

• 概要:
  Logjam攻撃は、2015年に発表されたDiffie-Hellman鍵交換の脆弱性を利用した攻撃です。この攻撃は、弱い鍵を使用することで、通信の暗号化を弱体化させることを目的としています。

• 被害の詳細:
  Logjam攻撃の背後にある主な脆弱性は、Diffie-Hellman鍵交換の鍵の長さにあります。攻撃者は、この脆弱性を利用して、鍵の長さを弱体化させることができます。具体的には、攻撃者は、512ビットの鍵を使用するように通信をダウングレードし、その後、計算資源を使用して鍵を解読します。この攻撃により、攻撃者は通信内容を盗聴することができます。

• 対策:
  Logjam攻撃を防ぐための主な対策は、強力な鍵を使用することです。多くのウェブサイトやブラウザは、この攻撃を受けた後、1024ビット以上の鍵を使用するように変更しました。また、ECDHE（楕円曲線Diffie-Hellman鍵交換）を使用することで、この攻撃のリスクを低減することができます。

3. FREAK攻撃

• 概要: FREAK（Factoring RSA Export Keys）攻撃は、2015年に発表されたRSA鍵の脆弱性を利用した攻撃です。この攻撃は、弱い鍵を使用することで、通信の暗号化を弱体化させることを目的としています。

• 被害の詳細:
  FREAK攻撃の背後にある主な脆弱性は、RSA鍵の長さに関連しています。攻撃者は、この脆弱性を利用して、鍵の長さを弱体化させることができます。具体的には、攻撃者は、512ビットの鍵を使用するように通信をダウングレードし、その後、計算資源を使用して鍵を解読します。この攻撃により、攻撃者は通信内容を盗聴することができます。

• 対策:
  FREAK攻撃を防ぐための主な対策は、強力な鍵を使用することです。多くのウェブサイトやブラウザは、この攻撃を受けた後、1024ビット以上の鍵を使用するように変更しました。また、サーバーとクライアントの設定を確認し、弱い暗号スイートの使用を禁止することも重要です。

4. DROWN攻撃

• 概要:
  DROWN（Decrypting RSA with Obsolete and Weakened eNcryption）攻撃は、2016年に発表されたSSLv2の脆弱性を利用した攻撃です。この攻撃は、古いプロトコルの脆弱性を利用して、新しいプロトコルの通信を解読することを目的としています。

• 被害の詳細:
  DROWN攻撃の背後にある主な脆弱性は、SSLv2の特定の暗号スイートに関連しています。攻撃者は、この脆弱性を利用して、TLSの通信を解読するための情報を取得することができます。具体的には、攻撃者は、SSLv2の通信を傍受し、特定の計算を行うことで、TLSの秘密鍵を取得することができます。この攻撃により、攻撃者はTLSの通信内容を盗聴することができます。

• 対策:
  DROWN攻撃を防ぐための主な対策は、SSLv2の使用を完全に停止することです。また、サーバーの設定を確認し、SSLv2のサポートを無効化することも重要です。さらに、秘密鍵の再生成と証明書の再発行を行うことで、過去の通信の安全性も確保することができます。

Q. 互換性を無くせばいいんじゃないの？

A. 互換性をなくすことは技術的には可能ですが、実際の運用上の理由やビジネス上の要因から、すぐに完全に互換性をなくすことは難しい場合が多いです。以下に、互換性を維持する理由と、それをなくす際の課題や考慮点を述べます。

互換性を維持する理由:

1. 既存のシステムとの連携: 企業や組織は、古いシステムやデバイスを使用している場合が多く、これらのシステムやデバイスが新しいプロトコルや技術をサポートしていない場合があります。

2. コスト: すべてのシステムやデバイスを最新のものにアップデートすることは、コストや時間がかかるため、すぐには実施できない場合があります。

3. 利用者の利便性: 例えば、ウェブブラウザの場合、古いバージョンのブラウザを使用している利用者もいるため、新しいプロトコルのみをサポートすると、これらの利用者がサービスを利用できなくなる可能性があります。

互換性をなくす際の課題や考慮点:

1. 移行期間の設定: 互換性をなくす際には、利用者や関連するシステムに十分な移行期間を設けることが重要です。この期間中に、必要なアップデートや変更を行うことができます。

2. コミュニケーション: 互換性をなくすことの影響や必要なアクションについて、関連する利用者や組織に明確に伝えることが重要です。

3. 代替手段の提供: 互換性をなくすことで影響を受ける利用者やシステムに対して、代替手段やソリューションを提供することが考慮されるべきです。

4. テスト: 互換性をなくす前に、十分なテストを行い、新しい環境での動作を確認することが重要です。

最終的に、互換性をなくすかどうかは、セキュリティの要件、ビジネス上の要因、利用者の利便性など、多くの要因を考慮して決定されるべきです。

Q. 攻撃方法はたくさんあるの？

A. ダウングレード攻撃の主な手法について詳しく解説いたします。

1. SSL/TLS ダウングレード攻撃

• 概要:
  SSL/TLSは、ウェブサイトとユーザーの間の通信を暗号化するためのプロトコルです。ダウングレード攻撃では、攻撃者はこの通信の初期段階に介入し、古いバージョンのSSL/TLSを使用するように強制します。

• 具体的な攻撃:

  • POODLE攻撃: この攻撃は、SSL 3.0の脆弱性を利用します。攻撃者は、クライアントとサーバーの間のハンドシェイク時に介入し、通信をSSL 3.0を使用するように強制します。その後、CBCモードの暗号化の脆弱性を利用して、暗号文を変更し、復号結果を予測します。これにより、攻撃者はセッションクッキーなどの重要な情報を盗むことができます。

2. SSH ダウングレード攻撃

• 概要:
  SSHは、リモートでのシステム管理やファイル転送を安全に行うためのプロトコルです。ダウングレード攻撃では、攻撃者はSSHのバージョンを古いものに変更し、脆弱性を利用します。

• 具体的な攻撃:
  攻撃者は、SSHのバージョン2をバージョン1にダウングレードし、バージョン1の脆弱性を利用して攻撃を行います。SSHv1には、暗号化や認証の脆弱性が多数存在するため、攻撃者はこれを利用して通信内容を盗聴や改ざんすることができます。

3. 暗号スイート ダウングレード攻撃

• 概要:
  通信の暗号化には、さまざまな暗号アルゴリズムやキー交換手法が使用されます。ダウングレード攻撃では、攻撃者は最も弱い暗号アルゴリズムやキー交換手法を使用するように強制します。

• 具体的な攻撃:
  攻撃者は、通信のハンドシェイク時に介入し、弱い暗号アルゴリズムやキー交換手法を使用するように強制します。例えば、ECDHEをDHEにダウングレードすることで、DHEの脆弱性を利用して秘密鍵を推測する攻撃が可能となります。

4. プロトコル ダウングレード攻撃

• 概要:
  通信には、さまざまなプロトコルが使用されます。ダウングレード攻撃では、攻撃者は古いバージョンのプロトコルを使用するように強制します。

• 具体的な攻撃:
  攻撃者は、通信の初期段階で介入し、古いバージョンのプロトコルを使用するように強制します。例として、HTTP/2をHTTP/1.1にダウングレードすることで、HTTP/1.1の脆弱性を利用して攻撃を行うことができます。

これらの攻撃は、通信の安全性を確保するためのプロトコルや暗号化方式を、攻撃者が意図的に古いバージョンに変更させることで、通信内容を盗聴や改ざんする攻撃方法です。攻撃者は、通信のハンドシェイク時や初期段階で介入し、古いバージョンのプロトコルや暗号化方式を使用するように強制することで、これらの攻撃を実行します。

Q. ダウングレードを強制ってどうやるの？

A. ダウングレード攻撃の背後にある技術的なメカニズムを理解するためには、まず通信のハンドシェイクプロセスを理解する必要があります。ハンドシェイクは、通信の初期段階で行われ、両者が使用するプロトコルや暗号化方式を決定するプロセスです。

以下に、ダウングレード攻撃がどのように行われるのか、技術的な詳細を解説します。