第21問
インターネットを利用する企業にとって、通信のセキュリティを守ることがます ます重要になっている。2014 年月にOpenSSL の脆 ぜい 弱 じゃく 性kCVE-2014-0160lが発 覚して大きな問題になった。この脆弱性に関する記述として最も適切なものはどれ か。
- ア 暗号化通信方式のフォールバック機能により、OpenSSL を使用した暗号通信 の内容が漏えいした。
- イ 攻撃者は、OpenSSL を使用しているサーバのメモリ内データの一部を読み取 ることができた。
- ウ この脆弱性はshellshock と呼ばれた。
- エ 中間者攻撃kman-in-the-middle attacklにより、暗号通信の内容が漏えいした。 DKJC-1F
▼ 解答・解説を見る
正解:イ
解答:イ
〔Heartbleed(CVE-2014-0160)〕OpenSSLのTLS拡張(heartbeat)機能の実装不具合で、攻撃者がサーバのメモリ内容を範囲外まで読み出せた脆弱性。秘密鍵やパスワード等が漏えいする恐れがあった。
- ア(×):暗号方式のフォールバックを悪用する攻撃はPOODLE等の別の問題で、Heartbleedの説明ではない。
- イ(○):攻撃者がOpenSSLを使うサーバのメモリ内データの一部を読み取れた、というHeartbleedの本質を正しく述べている。
- ウ(×):shellshockはbash(シェル)の脆弱性(CVE-2014-6271等)で、別物。
- エ(×):中間者攻撃による通信内容の漏えいはHeartbleedの主たる仕組みではない。Heartbleedはサーバメモリの読み出しが本質。
よって イ。