四半世紀にわたって解決しないRSA暗号「謎の脆弱性」の正体「25年も消えない脆弱性」への対策は?

新たに発見される脆弱性だけではなく、古くからある脆弱性にも要注意だ。データ暗号化に使われる「RSA方式」もその例外ではない。1998年に発見され、2023年現在も残る脆弱性とは。

2023年11月29日 05時00分 公開
[Cliff SaranTechTarget]

関連キーワード

暗号化 | 脆弱性 | サイバー攻撃


 「RSA方式」(Rivest-Shamir-Adleman)は、暗号化通信において情報の暗号化と復号に使われる鍵交換技術(鍵交換アルゴリズム)だ。セキュリティ研究者によると、25年前に発見されたRSA方式の脆弱(ぜいじゃく)性が2023年現在も存在し、攻撃に悪用される可能性がある。どのような脆弱性で、なぜ問題がいまだに解消していないのか。

RSA暗号「謎の脆弱性」の正体

 2023年9月にオランダで開かれた第28回「European Symposium on Research in Computer Security」(ESORICS)で、1998年に発見された、RSA方式の脆弱性についての論文が発表された。それによると、この脆弱性は2023年現在も修正されていない。

 この脆弱性はRSA方式のパディングモードの欠陥だ。パディングとは、乱数などの無意味なデータを暗号文に埋め込むことを指す。この欠陥は、RSA方式の暗号化に使われる通信プロトコル「TLS」(Transport Layer Security)のデータ機密性を無効にし、データ流出につながる恐れがあるという。

 企業向けLinuxディストリビューション(配布用パッケージ)ベンダーRed Hatでエンジニアを務めるフーベルト・カリオ氏によるとこの脆弱性の修正は25年にわたって試みられてきたが、「修正は非常に困難」だという。攻撃者はこの脆弱性を悪用することで、RSA方式による暗号を解読して署名を偽造できるようになる可能性がある。こうして暗号を解読する手口を「サイドチャネル攻撃」と呼ぶ。

 ユーザー企業に対してカリオ氏は、パッチ(修正プログラム)が提供されるのであればそれを適用することを推奨している。そうでない場合は、RSA方式のパディングモードを使用しないことが有効だという。「パディングモードを許可するプロトコルを非推奨とし、使用を完全に禁止すべきだ」(同氏)

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

市場調査・トレンド パロアルトネットワークス株式会社

ゼロトラストセキュリティ実現の鍵、エンタープライズブラウザの導入メリット

SaaS(Software as a Service)の普及とハイブリッドワークの定着に伴い、企業のアタックサーフェスが拡大している。このような中でセキュリティを強化する際に有効なのが、エンタープライズブラウザだ。本資料ではその理由を解説する。

製品資料 パロアルトネットワークス株式会社

SASEにネイティブに統合、次世代の働き方を支えるセキュアブラウザの実力とは?

従業員がWebブラウザで行う業務が増えるにつれ、そのブラウザを標的としたサイバー攻撃にどう対抗するかが、多くの組織で課題となっている。そこで注目したいのが、SASEフレームワークにネイティブに統合されたセキュアブラウザだ。

製品資料 インテル株式会社

セキュリティ面の課題を解消、ハードウェア起点のAI PCによる多層防御策とは?

生成AIの普及が進む一方で、企業は「攻撃対象領域の拡大」「情報漏えいリスク」「法規制への対応」などの課題に直面し、セキュリティの再設計が急務となっている。そこで本資料では、ハードウェア起点のAI PCによる多層防御策を紹介する。

製品資料 Absolute Software株式会社

調査で見えた「業務用PC」のリスク、セキュリティの対応不備はどこに多い?

2024年に実施されたエンドポイントセキュリティに関する調査で、多くの企業がAIやそのセキュリティ課題に未対応であることが明らかになった。本資料では、業務用PCのリスクを回避するための具体的な方法について解説する。

製品資料 パロアルトネットワークス株式会社

優先度の高いアラート対応で手いっぱい、SOC運用を変革する注目の手法とは?

攻撃対象領域の拡大に伴い、SOCは高優先度のアラート対応で手いっぱいになり、トリアージにおいても十分な追加検証が行えていない。この現状を打開するには、AI/機械学習を活用し、大量のデータをセキュリティ対策に生かす手法が有効だ。

アイティメディアからのお知らせ

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/06/17 UPDATE

  1. 繝代せ繝ッ繝シ繝我ク崎ヲ√�縲後ヱ繧ケ繧ュ繝シ縲阪�繝。繝ェ繝�ヨ縺ィ窶懆ヲ矩℃縺斐○縺ェ縺�ウィ諢冗せ窶昴r隗」隱ャ
  2. 莨∵・ュ縺ョ61��′辟。髦イ蛯呻シ溘€€縲轡DoS謾サ謦�€阪�閼�ィ√→莉翫°繧峨〒縺阪k髦イ蠕。遲�
  3. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  4. VMware豌ク荵�Λ繧、繧サ繝ウ繧ケ縺ッ繧ゅ≧縺翫@縺セ縺�シ溘€€窶懊ヱ繝�メ蟇セ雎。螟問€昴〒繧ら函縺肴ョ九k譁ケ豕�
  5. 縺昴�SMS縲�幕縺�※螟ァ荳亥、ォ�溘€€謾サ謦�€�′縲後せ繝溘ャ繧キ繝ウ繧ー縲阪↓逶ョ繧剃サ倥¢繧狗炊逕ア
  6. Web繧貞ョ医k縲係AF縲阪→縲軍ASP縲阪�莉慕オ�∩縺ィ縺ッ�溘€€荳。閠��驕輔>縺ッ��
  7. 繝代せ繝ッ繝シ繝峨h繧雁ョ牙�縺ァ隕壹∴繧�☆縺�€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪�菴懊j譁ケ
  8. 萓オ蜈・邨瑚キッ縺ッ縲梧ュ」隕上い繧ォ繧ヲ繝ウ繝医€阪′譛€螟壹€€隱崎ィシ諠��ア縺ョ窶懃尢縺セ繧梧婿窶昴↓縺ッ縺ゅk螟牙喧繧�
  9. 縺昴�繝励Λ繧、繝舌す繝シ蟇セ遲悶€∝ョ溘�窶懈凾莉」驕�l窶昴°繧ゑシ溘€€NIST縺檎、コ縺呎眠蝓コ貅�
  10. IPA縲梧ュ蝣ア繧サ繧ュ繝・繝ェ繝�ぅ10螟ァ閼�ィ√€阪r蜊倥↑繧九Λ繝ウ繧ュ繝ウ繧ー縺ァ邨ゅo繧峨○縺ェ縺�婿豕�

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...