こんにちは、サーバーワークスの三井です。
少しばかり遅くなってしまいましたが、HTTPSやSSH、IPSecなどセキュアな接続に幅広く使われているTLSプロトコルに、「Logjam」と呼ばれる脆弱性が見つかり、日本でもぼちぼち話題となっています。まずは慌てずに状況を確認し、対策を実施しましょう。
(※本記事は、AWS環境でELBを用いたSSL Terminationを行っている方を主たる対象としています。予めご了承ください。)
この脆弱性の成立するロジック自体は、3月に大きな話題となった「FREAK」と似ていますが、前者はOpenSSLの実装の脆弱性であったのに対し、今回のLogjamは鍵交換のプロトコル自体に潜在的にある脆弱性です。中間攻撃者にこの脆弱性を悪用されると、TLS通信を暗号強度の低い輸出グレードの暗号方式にダウングレードされ、通信内容が傍受される可能性があります。
クリティカルな脆弱性ではありますが、FREAK対策で輸出グレードの暗号方式を全て無効化している場合には影響を受けないので、今回はそれほど大きな話題にはなっていないのかなと推測しています。
念のため確認
- ブラウザの影響確認
The Logjam Attack
https://weakdh.org/
ブラウザは各開発元から提供されるパッチ済の最新版にアップデートすることをお薦めします。
- サーバサイドの影響確認および対策の案内
Guide to Deploying Diffie-Hellman for TLS
https://weakdh.org/sysadmin.html
ELBなどでSSL Terminationをしておらず、サーバで直接SSLの終端処理をしている場合には上記のURLを参考に対処を実施する必要があります。
AWSでELBによるSSL Terminationを行っている場合
対策済のChiper Suite "ELBSecurityPolicy-2015-05" がリリースされています。
特段の理由がなければAWSのアナウンスに従って、Chiper Suiteを更新するのが安全です。
- EC2 Management Consoleより"Load Balancers"を開き、対象のELBを選択します。
- "Listener"タブを開き、"Cipher"列の"Change"をクリックします。
- "Predefined Security Policy" が選択されていることを確認します。
- ドロップダウンメニューから、"ELBSecurityPolicy-2015-05" を選択します。
- "Save" をクリックし、ELBに設定を反映させます。
- HTTPSまたはSSLを処理するELBが他にもある場合には、上記手順を繰り返します。
なお、ELBのCipher Suiteの変更は動的に適用されるので、サービス停止は発生しません。
参考リンク
Announcement: Announcing ELB security update to disable Diffie-Hellman key agreement
https://forums.aws.amazon.com/ann.jspa?annID=3061