「SSL BEAST攻撃」について

2011年9月にアルゼンチンで開かれたカンファレンスにおいて、セキュリティ研究家によりSSLの脆弱性を悪用した「SSL BEAST攻撃」 のデモが行われ、その危険性が報告されました。

2011年10月の時点では、本脆弱性に対する実際の攻撃例等はまだ報告されていませんが、今後この脆弱性が応用された場合大きな被害が生じる可能性があることをSSTでは懸念しております。

参照: 「SSL の脆弱性を悪用した『SSL BEAST』攻撃、研究者がデモ」
【japan.internet.com】

Scutum の対応

WAF 「Scutum」 ではすでに対応を完了し、「SSL BEAST攻撃」を検知し防御する機能を標準サービスとして搭載しております。Scutumをご利用いただいているWEBサイトでは、本脆弱性を利用した攻撃を防御することが可能です。

プレスリリースPDF

また、本脆弱性が実際に悪用された場合の影響を考慮し、当サイトの技術者ブログ『WAF Tech Blog』において「SSL BEAST攻撃」に関する調査結果を公表しております。国内のセキュリティ研究家や開発者の方々にとって今後の対策の一助になれば幸いです。

SSL BEASTが利用する「選択平文攻撃」をJavaで実行する方法 - WAF Tech Blog BEAST(Browser Exploit Against SSL/TLS)とは何か - WAF Tech Blog Tomcatなど、Java製のサーバでBEAST対策を行う方法 - WAF Tech Blog