ロンドン大学ロイヤルホロウェイ校の研究チームが、広く使用されている暗号化プロトコルOpenSSHに内在する脆弱性を明らかにした。

ロイヤルホロウェイ校Information Security Group（ISG）の研究チームによると、「Debian GNU/Linux」に含まれるOpenSSHのバージョン4.7に存在するこの脆弱性を突けば、32ビットの暗号化されたテキストを平文に変換することが可能になるという。

攻撃者が成功する確率は26万2144分の1だ。ISGを率いる教授のKenny Patterson氏は、CNET Newsの姉妹サイトであるZDNet UKに現地時間5月18日、今回の脆弱性はこれまでに発見されたOpenSSHの脆弱性よりも重大だと語った。

「これはOpenSSHの設計上の欠陥だ。他の脆弱性は、設計上というよりコーディング上のミスだった」（Patterson氏）

Patterson氏によると、攻撃者が中間者攻撃でネットワークに侵入し、暗号化されたテキストブロックがクライアントからサーバに送られる際に入手できる可能性があるという。攻撃者は、テキストブロックをサーバに再送することによって、対応する平文の最初の4バイトを解読できる。サーバがエラーメッセージを作成して接続を切るまで送信されるバイト数をカウントし、これから逆算して、暗号化される前にOpenSSHの暗号化フィールドにあったものを推理できるという。

この攻撃は、SSHを定義するインターネット規格RFC（Requests for Comment）の脆弱性を突いたものだ、とPatterson氏は指摘する。

Patterson氏は18日に、カリフォルニア州オークランドで開催された「IEEE Symposium on Security and Privacy」で講演し、研究チームの研究結果について説明した。ISGでこの研究に携わっているのは、Patterson氏、Martin Albrecht氏、Gaven Watson氏の3人だ。

今回の脆弱性については、2008年11月に英国のCentre for the Protection of National Infrastructure（CPNI）が初めて報告したが、詳細は明かされなかった。CPNIの報告によると、OpenSSHの脆弱性は、ITの専門家がCBC（Cipher Block Chaining）モードではなくCTR（CounTR）モードでAES（Advanced Encryption Standard）を使用することで軽減できるという。

研究チームがOpenSSHの開発者と協力してすでに脆弱性を軽減しており、バージョン5.2には対策が施されている、とPatterson氏は述べた。

「（OpenSSHの脆弱性は）修正済みだ。攻撃を阻止するために対策が施されている。だが、規格は変更されていない」（Patterson氏）

Patterson氏は、これまでにこの脆弱性を突いた攻撃があったとは思わないし、かなり長いメッセージを解読するには数日かかる可能性がある、と述べた。また、プロプライエタリなSSHのベンダーはこの問題について事前に通知を受け、コードに対策を施している。だがPatterson氏は、ソフトウェアがオープンソースかプロプライエタリかに関係なく、システム管理者がサーバとクライアントにパッチを当てるまでに時間がかかるのが常だ、と付け加えた。