BEAST

SSL/TLS に対するブラウザエクスプロイト

関連警告

"サーバーは BEAST 攻撃に対して脆弱性があります。"

問題

BEAST(Browser Exploit Against SSL/TLS) 攻撃 は SSL 2.0、SSL 3.0 および TLS 1.0 プロトコルに影響を及ぼし、悪意ある行為者がウェブブラウザとウェブサイトとの間の SSL 暗号化、または TLS 暗号化されたセッションのコンテンツを復号することができます。攻撃者は、ブロックベースの暗号スイートにある脆弱性を利用します。

これは、クライアントサイド攻撃で、攻撃者は "犠牲者"のブラウザを管理する必要があります。ほとんどのブラウザは、BEAST 攻撃に対しては脆弱性があります。

BEAST 攻撃では、攻撃者は中間者(man-in-the-middle)として動作し、特殊作成平文入力を使用して、ウェブブラウザとウェブサイトの間の SSL 暗号化、または TLS 暗号化のコンテンツを解読します。このタイプの攻撃では、攻撃者は機密情報 (例. HTTP 認証 Cookie) を復元することができます。

ソリューション

  • これらのプロトコルをサポートするサーバーで TLS 1.2 または TLS 1.3 を有効にします。
  • これらのプロトコルをサポートするウェブブラウザで TLS 1.2 または TLS 1.3 を有効にします。

一時対処方法

お使いのサーバーの SSL/TLS 構成でブロックベースの暗号スイートすべてを無効にします。サーバー上およびブラウザ内で TLS 1.2 または TLS 1.3 を有効にできない場合は、この一時対処法のみを使用します。