2015 年 3 月 6 日に、セキュリティアドバイザリ 3046015 「Schannel の脆弱性により、セキュリティ機能のバイパスが起こる」を公開しました。(日本語版サイトは、準備ができ次第公開いたします。) 3/6 追記:日本語版サイトを公開いたしました。
マイクロソフトは、すべてのサポートされているリリースの Microsoft Windows に影響を与える Secure Channel (Schannel) のセキュリティ機能のバイパスの脆弱性を確認しています。この脆弱性は、通称 FREAK (Factoring attack on RSA-EXPORT Keys) として知られる業界全体に影響を与える脆弱性です。
なお、現時点で確認されている攻撃手法においては攻撃をを成功させるために、サーバーが 輸出用RSA 鍵交換の暗号化スイートをサポートしていることが必要条件です。Windows サーバーは、既定の設定では、輸出用RSA 鍵交換の暗号化スイートを利用しないため、攻撃の影響を受けません。 (3/6 追記:Windows Server 2003 を除きます)
このセキュリティ アドバイザリがリリースされた時点では、マイクロソフトは、この問題が公にお客様の攻撃に使用されたと示す情報は受け取っておりません。
マイクロソフトでは継続して本脆弱性の影響を調査しており、調査が完了次第、お客様を保護するための適切な措置を講じる予定です。
影響を受ける製品
すべてのサポートされているリリースの Microsoft Windows
現時点で確認されている攻撃手法においては攻撃をを成功させるために、サーバーが 輸出用RSA 鍵交換の暗号化スイートをサポートしていることが必要条件です。Windows サーバーは、既定の設定では、輸出用RSA 鍵交換の暗号化スイートを利用しないため、攻撃の影響を受けません。(3/6 追記:Windows Server 2003 を除きます)
推奨するアクション
セキュリティ アドバイザリ 3046015をご覧いただき、必要な回避策を講じることをご検討ください。
--------------------------------------------------------
更新履歴
3月6日:本情報を公開しました
3月6日:日本語サイトを公開した旨を追記しました。Windows Server 2003 を除き、Windows Serverの既定の設定では、輸出用RSA 鍵交換の暗号化スイートを利用しないことを追記しました。