はじめに
本文書の目的
この文書は、BEAST攻撃(Browser Exploit Against SSL/TLS)について、技術的な仕組みと防御策を分かりやすく整理することを目的としています。特にTLS 1.0のCBCモードに焦点を当て、どのようにして攻撃が成立するのか、どの環境が影響を受けるのかを丁寧に解説します。
読者想定
セキュリティに関心のあるエンジニアや運用担当者、TLSの基本を知りたい管理者を想定しています。暗号の深い理論は扱わず、具体例を交えて理解しやすく説明します。
本書の構成
第2章でBEASTの概要と位置づけを示し、第3章で影響範囲(バージョンや暗号スイート)を整理します。第4章で技術的な仕組みを詳述し、最後に対策や現代のリスク評価を提示します。
注意事項
技術的な用語は必要最小限に限定し、例を用いて平易に説明します。後の章で詳しい攻撃手順や防御法を扱いますので、まずは全体像をつかんでください。
BEAST攻撃とは何か ― 概要と位置づけ
概要
BEAST(Browser Exploit Against SSL/TLS)は、TLS 1.0やそれ以前のSSLで使われた暗号処理の仕組みを突くネットワーク攻撃です。通信の途中に立つ攻撃者が、暗号化されたやり取りから少しずつ秘密情報を推測して盗み出します。代表的な標的はセッションクッキーや認証トークンなどの短い機密データです。
仕組み(概念)
具体的には「CBCモード」と呼ばれる暗号のやり方の取り扱いに穴があります。簡単に言うと、あるブロックの暗号化に前の出力が絡むため、攻撃者が通信内容の一部を操作して応答を観察することで、平文の一部を当てていけます。数学的な操作(XOR)や初期化ベクトル(IV)の振る舞いを利用します。
位置づけと歴史
この弱点は理論的に以前から指摘され、2011年に実用的な手法(PoC)が示されました(CVE-2011-3389)。その後、ブラウザやサーバの設定変更で多くは対処され、現代の一般的な環境では実用上の脅威は小さくなっています。ただし、古いTLS/SSLを残した環境では今も注意が必要です。
なぜ知っておくべきか
過去の攻撃ながら、暗号プロトコル設計の脆弱性が実用攻撃に繋がる例として教育的です。運用側はプロトコルや暗号スイートの更新を確認してください。
攻撃対象 ― どのバージョン・暗号が危険なのか
影響を受けるバージョン
BEASTは主にSSL 3.0とTLS 1.0の実装を狙います。TLS 1.1以降では、CBC(Cipher Block Chaining)の初期化ベクトル(IV)生成方法が改善され、この特定の攻撃は設計レベルで防がれています。したがって、TLS 1.0を使っている通信は優先的に対処する必要があります。
影響を受ける暗号アルゴリズム
問題の焦点はCBCモードそのものにあります。AES-CBCや3DES-CBCなど、ブロック暗号をCBCで使う実装はブロック長やアルゴリズムを問わず影響を受けます。簡単に言えば、ブロックを前のブロックに連結して暗号化する方式が狙われます。
RC4について
RC4はストリーム暗号であり、CBC依存のこの攻撃には当てはまりません。そのため、当時は一時的にRC4を用いてBEASTを回避する運用がありました。とはいえ、後にRC4自体の脆弱性が判明し、現在はRC4の使用を推奨しません。
CVEと実務上の注意点
この問題はCVE-2011-3389として登録されています。実務ではTLSバージョンを可能な限り1.1以上(理想は1.2以上)に移行し、サーバーとクライアントの設定でCBCベースの暗号スイートを見直すことをおすすめします。
技術的な仕組み ― なぜTLS 1.0のCBCが狙われたのか
仕組みの復習
CBCは平文をブロック単位で連鎖的に暗号化します。最初は初期化ベクトル(IV)と平文を合成し暗号化し、次は直前の暗号文をIV代わりに使います。こうしてブロック同士がつながります。
TLS 1.0の仕様上の問題点
TLS 1.0では新しいレコードを始めるときのIVとして、前のレコードの最後の暗号ブロックをそのまま使います。つまり通信を盗聴する攻撃者は、暗号文だけでなく次のレコードのIVも手に入れます。
BEASTの攻撃手順(要点)
攻撃者は被害者に選んだ平文を送らせる仕掛けを作り、暗号化の入力(ブロック境界)を狙います。レコード分割で送信を小さく切り、目的のバイトがあるブロックの先頭に来るように調整します。そして暗号文とIVを観察しながら、1バイトずつ推測します。
なぜ平文が推測できるのか
XORは可逆です。IV⊕平文を暗号化する性質と、次レコードで前暗号文がIVになる仕様の組合せで、攻撃者は“ある候補の平文”を挿入して結果を比べられます。正しい候補だけが一致するため、徐々に未知のバイトを特定できます。
簡単な対策
対策はIVを予測不能にするか、ブロック暗号の使い方を変えることです。TLSの後続仕様ではこの点が修正され、またストリーム向けの暗号やAEAD(認証付き暗号)を使うことで防げます。
