BEAST
Browser Exploit Against SSL/TLS
関連する警告
「サーバーにBEAST攻撃に対する脆弱性があります。」
問題
Browser Exploit Against SSL/TLS(BEAST)攻撃は、SSL 2.0、SSL 3.0、および TLS 1.0プロトコルに影響を及ぼします。この攻撃は、攻撃者がウェブブラウザとウェブサイト間におけるSSL暗号化セッションまたはTLS暗号化セッションの内容を復号化できるようにします。攻撃者は、ブロックベースの暗号スイートに存在する脆弱性を悪用します。
注記
これは、攻撃者が「被害者」のブラウザを制御する必要があるクライアント側の攻撃です。ほとんどのブラウザにはBEAST攻撃に対する脆弱性があります。
BEAST攻撃では、攻撃者が中間者として行動し、特別に細工された平文入力を使用して、ウェブブラウザとウェブサイト間におけるSSL暗号化セッションまたはTLS暗号化セッションの内容を復号化します。このタイプの攻撃は、攻撃者による機密情報(HTTP認証クッキーなど)の復元を可能にします。
ソリューション
TLS 1.2またはTLS 1.3をサポートするサーバーで、これらのプロトコルを有効にします。
TLS 1.2またはTLS 1.3をサポートするウェブブラウザで、これらのプロトコルを有効にします。
回避策
サーバーのSSL/TLS設定で、ブロックベースの暗号スイートのすべてを無効化します。この回避策を使用するのは、サーバーおよびブラウザでTLS 1.2またはTLS 1.3を有効化できない場合のみにしてください。