くららカフェ#4での資料 スピーカ―：クララオンライン　寺尾

1. Heartbleed、POODLEとはなんだったのか+FREAK
2015年3月19日くららカフェ#4SSL総まとめ2015
株式会社クララオンライン 寺尾英作

2. 自己紹介
2
• インフラ・セキュリティ分野が好きなイベント大好きエンジニアです。
• 楽しさ×技術×サービスをどうやって最大化できるかを考えてます。
• 「くららカフェ」の中の人。レンタルサーバオルグ(ほぼ休眠中)の代表。
• HKT48(矢吹奈子、宮脇咲良)、 AKB48（渡辺麻友）、SKE48（高柳明音）、乃木坂46、自
転車(ルイガノ)、カメラ(Nikkon D90)、野球(やるほう)、フットサル(やるほう) 好きです。
• くららカフェ http://clara-cafe.connpass.com/
• 勉強会 × カフェ
寺尾 英作
株式会社クララオンライン ビジネス推進グループ
Facebook : eisaku.terao

3. 本セッションの目的
3
• 暗号の仕組みを勉強する事が目的としません。
• 暗号の解説としては正確性を欠く表現があるかもしれません。
• 脆弱性がどのような仕組みで発生したことかをより正確に認識し、その影響範囲な
どを正確に判断できるようになることを目的とします。

4. CLARA ONLINE4
まず最初にお断り

5. CLARA ONLINE5
暗号の専門家では無いので、
ツッコミはやさしくお願いしますm(_ _)m

6. CLARA ONLINE6
分からないことは一緒に解決して行きましょう

7. CLARA ONLINE7
さて

8. CLARA ONLINE8
3月ショッキングな出来事がありました

9. CLARA ONLINE9
2015/3/4

10. CLARA ONLINE10
FREAK (CVE-2015-0204)

11. CLARA ONLINE11
ｶﾞｶﾞｶﾞ━Σ(llﾟωﾟ(llﾟдﾟll)ﾟ∀ﾟll)━ﾝ!!!

12. CLARA ONLINE12
作る資料が、1.5倍増し決定！
///orz///ｽﾞｩｩｩｩﾝ

13. CLARA ONLINE13
さらに。。。。
2015/3/16

14. CLARA ONLINE14
Matt Caswell matt at openssl.org
Mon Mar 16 19:05:31 UTC 2015
The OpenSSL project team would like to announce the forthcoming release
of OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf.
These releases will be made available on 19th March. They will fix a
number of security defects. The highest severity defect fixed by these
releases is classified as "high" severity.
(´▽｀*)ｱﾊﾊ

15. CLARA ONLINE15
ｱﾜ((ﾟﾟддﾟﾟ ))ﾜﾜ!!
3/19ってくららカフェ
当日じゃね？

16. CLARA ONLINE16
SSLイベントの日に
そんなメモリアルなイベント
重ねてくれなくて良いんだけど
☆(゜o°(○=(-_-; うりゃ

17. CLARA ONLINE17
果たして当日は人が来てるのか？
来てると良いな
脆弱性も影響少ないと良いな

18. SSL脆弱性祭
18
• 2015/3/4 FREAK (CVE-2015-0204)
• Factoring attack on RSA-EXPORT Keys の略、輸出向けのRSAを因数分解する攻撃です。
• MiTM環境で、master_secretを知ることで暗号を自由に解読・改ざんできる。
• 2014/10/14 POODLE (CVE-2014-3566)
• Padding Oracle On Downgraded Legacy Encryption
• MiTM環境で、CBC暗号をブルートフォースアタックで解読できる。
• SSL 3.0 を使う暗号化通信において、細工したリクエスト送信を繰り返し試み、暗号化通信の一部を解読
できる恐れが公表。また攻撃者は、TLS／SSL のバージョンをダウングレードさせる可能性がある。
• 2014/12/08 TLS 1.0 / TLS 1.1でも一部影響が有ると判明
• 2014/4/8 HeartBleed(CVE-2014-0160)
• heartbeat 拡張にメモリ内の情報が取得される可能性のある脆弱性が公表
• リモートから秘密鍵などを含むデータが漏洩する可能性がある
• 秘密鍵が盗まれると、MiTM環境で、盗聴・改ざんが容易にできる。

19. Mar192015
19

20. Mar192015OpenSSLUpdate
20
• FREAKに関するアップデート
• 0.9.8系、SSLv3をデフォルトで無効化。1.0.x系、輸出グレードの暗号化をデフォルトで無効化。
• https://security-tracker.debian.org/tracker/CVE-2015-0209
• https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=1b4a8df38fc9ab3c089ca5765075ee53ec5bd66a
• failure to NULL a pointer freed on error.
• https://security-tracker.debian.org/tracker/CVE-2015-0285
• https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=e1b568dd2462f7cacf98f3d117936c34e2849a6b
• under certain conditions a client can complete a handshake with an unseeded PRNG.
• https://security-tracker.debian.org/tracker/CVE-2015-0288
• https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=28a00bcd8e318da18031b2ac8778c64147cd54f9
• crypto/x509/x509_req.c bug #0day
• https://security-tracker.debian.org/tracker/CVE-2015-0291
• 1.0.2 server DoS
• まだ情報が出てないので待ちましょう。

21. CLARA ONLINE
FREAK (CVE-2015-0204)
21

22. FREAK (CVE-2015-0204)
22
• FREAK攻撃は、Factoring attack on RSA-EXPORT Keys の略、輸出向けのRSAを因数分解す
る攻撃です。
• 脆弱性自体は2015年1月の出来事。ダウングレード攻撃を受ける脆弱性として認識され、
OpenSSLのアップデートは2015年1月8日にリリース済み。この脆弱性を利用して輸出向
けRSAにダウングレードして解読出来る手法が公表されたのがFREAK(2015年3月)
• 攻撃が成立する条件
• MiTM(中間者攻撃)ができること
• サーバ側でEXPの暗号方式で ephemeralRSA(512bit)が使えること
• サーバ側でephemeral RSAの鍵ペアが使いまわされていること
• Apache mod_sslでは、起動から終了まで使い回されている
• クライアント側でEXP以外の暗号方式でも ephemeralRSA(512bit)が使えるよう拡張されていること(1.0.1kより前の
OpenSSL)
引用: http://d.hatena.ne.jp/jovi0608/20150304

23. ephemeralRSA(一時的RSA)
23
引用: http://d.hatena.ne.jp/jovi0608/20150304

24. ステップ１事前に一時的RSAの因数分解
24
引用: http://d.hatena.ne.jp/jovi0608/20150304

25. ステップ２サーバ側を輸出用暗号方式でハンドシェイクするよう改ざん
25
引用: http://d.hatena.ne.jp/jovi0608/20150304

26. ステップ３pre_master_secretの入手
26
引用: http://d.hatena.ne.jp/jovi0608/20150304

27. ステップ４Finishedのハッシュデータの改ざん
27
引用: http://d.hatena.ne.jp/jovi0608/20150304

28. CLARA ONLINE
MiTM攻撃
28

29. MiTM攻撃
29
• Man in The Middle Attack (中間者攻撃)
• MiTM攻撃は、アクセス元と正規のコンテンツの間に何らかの方法で入り込み、盗聴
や改ざんなどを行う攻撃です。
• MiTM攻撃は気づきにくい攻撃（必ずしもコンピュータに侵入されているわけでは無
い）で、通信経路で盗聴されるため、対処がなかなか難しい。
• 少ない対処法の中で、多少は有効だったのがSSL暗号化です。

30. CLARA ONLINE30
本当に大丈夫？
公衆無線LAN使わないし、
セキュリティには十分気を配ってるし、
アンチウィルスソフト入れてるし、
自分はMiTM攻撃を受けないよ

31. MiTM攻撃手法
31
• 野良WiFi・偽AP(Evil Twin)
• Proxy・DNSサーバの変更
• ルータの脆弱性
• キャッシュDNSサーバを毒入りサーバに変更、ルーティング変更などで中間サーバへ誘導
• DNSポイズニング
• 改ざんしたDNSレスポンスを返すことで、不正なサイトに誘導
• キャッシュポイズニング
• クライアント側のキャッシュを汚染することで、不正なサイトに誘導
• アプリケーションキャッシュポイズニング

32. MiTM攻撃手法
32
• 野良WiFi・偽AP(Evil Twin)
• 野良WiFiはまだ対処のしようがある
• 偽AP(Evil Twin)は、対処が難しい。
• たとえば、ラウンジにあるFreeWifiなどでは、SSIDやパスフレーズが公開されているため、攻撃者は
ノートPCなどで簡単に偽WiFiのAPを構築することが可能。
• 基本的にWiFiアクセスはVPN等での保護をするべきだ

33. MiTM攻撃手法3
33
• Proxy・DNSサーバの変更
• PCやスマホの設定を変更する必要があり、事前にPCの別の脆弱性などを利用して、書き換えを行
う必要がある
• ルータのキャッシュDNSサーバの変更は昨年中国製ルータの脆弱性で話題に上がった
• http://blog.trendmicro.co.jp/archives/9146
• 日本でもルータのパスワードが同一で外部からアクセスできるなど、問題があった。

34. MiTM攻撃手法4
34
• ルータの脆弱性
• 「ルータ 任意のコマンド実行 脆弱性」でググりましょう

35. MiTM攻撃手法5
35
• DNSポイズニング
• PCやスマホの問題では無いため対処のしようが無いパンドラの箱
• プロバイダのキャッシュDNSサーバを信頼するしか無い
• WiFi環境などでは、信頼できるか不確定。ルータがキャッシュDNSサーバになっている場合、
ちょっと怖い。

36. MiTM攻撃手法5
36
• アプリケーションキャッシュポイズニング
• 最近はJavaScript等にアクセス先がコーディングされているので、これを書き換える or 偽のファイル
を送り込む
• これを行うためには他の脆弱性を使うか、MiTM攻撃もよく利用される
• OSキャッシュは有効期限がある事が多いが、アプリケーションキャッシュは期限が長い傾向があ
るので、利用が多くなってきている。

37. MiTM攻撃は避けにくい
37
• 十分注意していても、被害に遭う可能性はあることを認識して、対処に当たろう。
• とはいえ、、、、HeartBleedみたいに、IPアドレスだけでリモートから簡単に攻撃するのは少し難しいはずだ。

38. CLARA ONLINE
POODLE(CVE-2014-3566)
38

39. POODLE(CVE-2014-3566)
39
• 2014/10/14 POODLE (CVE-2014-3566)
• Padding Oracle On Downgraded Legacy Encryption
• Padding : 不要な付け足し
• Oracle:予言
• On Downgraded Legacy Encryption：古い暗号方式へのダウングレードした上で
• SSL 3.0 を使う暗号化通信において、リクエスト送信を繰り返し試み、暗号化通信の一部を解読す
る恐れが発生。また攻撃者は、TLS／SSL のバージョンをダウングレードさせる可能性がある。
• 2014/12/08 TLS 1.0 / TLS 1.1でも一部で影響が有ると判明
• SSL3.0終了のお知らせ
• なぜでしょう？

40. POODLEでSSL3.0終了のお知らせ
40
• 暗号は、解読に総当たり攻撃が必要で、途方も無い計算労力がかかることで、実質
的な解読が難しいことをよりどころにしています。
• POODLEは、SSL 3.0で利用されるCBC暗号のアルゴリズムに致命的な問題があり、
サーバレスポンス(暗号文)から総当たり攻撃の解読のヒントを漏らしてしまうこと
で、総当たり攻撃が256通りとかなり絞り込める状況を作り出してしまったことで
す。
• 本気の解説は、まじ難解
• 2014-11-04SSL3.0 徹底解剖!!!?なぜPOODLE に殺されたのか?
• http://moro-archive.hatenablog.com/entry/2014/11/04/042754
• もろちゃん(@Chan_moro)

41. POODLEでSSL3.0終了のお知らせ
41
• SSLv3では、RC4もしくはCBCのどちらかの暗号アルゴリズムで通信を秘匿していま
す。
• POODLEは、SSLv3でCBCブロックモードで使用した場合に影響があります。
• RC4暗号はすでに脆弱であるとして利用非推奨暗号アルゴリズムとして指定されて
います。
• 終わり。
参考：http://moro-archive.hatenablog.com/entry/2014/11/04/042754

42. CBC方式のブロック暗号の復号処理
42
引用：http://developers.mobage.jp/blog/poodle

43. XOR(排他的論理和)とは
43
• 例： 「私の身長は160cm以上である」と「私の体重は52kg未満である」の二つの命
題の排他的論理和は、これらのうち一方のみが成り立つことであるから、「私は身
長160cm以上であり体重が52kg以上である。あるいは、私は身長160cm未満であり
体重が52kg未満である。」となる。
• ビットごとの排他的論理和は特定ビットの反転操作なので、2回繰り返せば元に戻
る。つまり
• (P xor K) xor K =P
• これを利用して、『K』を鍵とする暗号を作ることができる。平文『P』は 、暗号文
は 『P xor K』 となる。
• 鍵の長さが十分であると、暗号を解くのが非常に難しくなる。
引用： http://ja.wikipedia.org/wiki/排他的論理和

44. 最後のブロックがPaddingのみになった際の復号例
44
引用：http://developers.mobage.jp/blog/poodle
『P xor K』
『K』
『P』
Paddigの中身は検査
されない

45. 45
• 攻撃するには、最後のブロックがパディングだけで埋まるような文字列を用意
します。

46. クライアントの暗号文を暗号文のまま変更を実施
46
引用：http://developers.mobage.jp/blog/poodle

47. Padding-Oracle Attackの復号手順
47
引用：http://developers.mobage.jp/blog/poodle

48. CLARA ONLINE
HeartBleed(CVE-2014-0160)
48

49. HeartBleed(CVE-2014-0160)
49
• 2014/4/8 に公開された
• OpenSSLのHeartBeat(心拍)機能に見つかった脆弱性であることと、著しく致命的で
影響が大きいことから、Heartbleed(心臓出血)と名付けられた
• SSLハートビート機能とは、クライアントからhelloを含むハートビートリクエスト
を投げると、ハートビートレスポンスとして、helloとエコーバックする機能。この
機能が実装されたのは2011年12月。
• 発見者のインタビュー：
• http://ascii.jp/elem/000/000/884/884887/

50. 脆弱性を簡易的に図示
50
引用：http://developers.mobage.jp/blog/2014/4/15/heartbleed
ここに秘密鍵や、他
ユーザのデータなど
があると漏洩発生

51. HeartBleedの仕組み
51
• セッションIDやパスワードなどが漏洩した場合
• そのIDを利用して、なりすましによる不正な操作や情報漏洩が可能
• 秘密鍵が漏洩した場合
• 暗号化通信が解読が可能に！←これが心臓出血の原因！
• 問題を大きくするのは、細工したパケットを受け取ってもログなどに残らないこと
細工したパケット
秘 ・サイトの秘密鍵
・ウェブサイトのID・パスワード
・ウェブサイトのセッションID
・その他大事な情報
などが漏洩する可能性が有る
メモリ内の一部のデータ漏洩
最大で65,535バイトのメモリ上のデータ
何が漏洩するかは、メモリに何が格納
されていたか次第

52. まとめ(サーバ管理者視点)
52
脆弱性 サーバ側対策 クライアント側
HeartBleed
（CVE-2014-0160）
SSLハートビート機能のバグ
で、意図しないメモリ領域を
応答することで、情報漏洩。
秘密鍵が漏洩する可能性
もあるため大事に。
・OpenSSLのアップデート
・旧証明書の失効と、新し
い秘密鍵で新しい証明書を
発行する
・出来ることはあまりない
POODLE
(CVE-2014-3566)
SSLv3でCBC暗号を利用して
いる場合に、ブルート
フォースアタックで暗号解
読
・SSLv3を無効にする ・ブラウザのSSLv3を無効に
FREAK
(CVE-2015-0204)
大昔に使われた輸出グ
レードの暗号化方式が使え
てしまい、通信が盗聴でき
てしまう問題
・OpenSSLのアップデート
・Webサーバの設定で輸出
グレードの暗号化方式を試
用しないように設定
・ブラウザなどのアップデー
ト・輸出グレードの暗号化
方式を無効に。

53. 53
2015年03月09日
OpenSSLのコード、NCC Groupが監査へ--脆弱性の早期発
見を目指す(ZDnet)
http://japan.zdnet.com/article/35061477/
NCC Groupは、Core Infrastructure Initiative（CII）から
の資金提供を受けて監査を行う
予備的監査が終了するのは、2015年初夏の予定
マジ頼んだ！NCC Group

54. まとめ
54
• このセッションが、
• 過去の脆弱性情報に学び、
• 新たな脆弱性が出たときに、
• その情報を適切に理解し、
• 影響範囲を適切に認識でき、
• 適切な対応をとれるようになるための、
• 一助になれば光栄です。

55. CLARA ONLINE
Copyright © 1997-2015 CLARA ONLINE,Inc. a limited company incorporated under the Japanese Law, All rights reserved. Reproduction of this publication in any form without prior written permission is forbidden. The information contained herein has been obtained from sources believed to be reliable. Clara Online disclaims all warranties as to the accuracy, completeness or adequacy of
such information. Clara Online shall have no liability for errors, omissions or inadequacies in the information contained herein or for interpretations thereof. The reader assumes sole responsibility for the selection of these materials to achieve its intended results. Clara Online, the "Clara" logo and design is registered trademarks or trademarks of Clara Online, Inc. in the Japan, China and/or
other jurisdictions. All other marks and names mentioned herein may be trademarks of their respective companies. Specifications subject to change without notice.