Akamai dots background

BREACH 攻撃

BREACH 攻撃は 2013 年に発見されました。 このデータ侵害手法は、ページロード時間の短縮、帯域幅の節約、送信中のデータ保護を目的にウェブサイトで使用されるデータ圧縮やデータ暗号化を組み合わせて悪用するものです。 BREACH 攻撃は SSL のセキュリティを直接標的としたものではありませんが、ページヘッダーを暗号化する HTTPS を減らすことで、その他のコンテンツを見つけやすくし、SSL のプライバシー保護機能を低下させます。 ハッカーは総当たり攻撃と分割統治法を併用して BREACH 攻撃を仕掛け、SSL 対応のウェブサイトからログイン情報、メールアドレス、およびその他の機密情報や個人情報を抽出します。

BREACH 攻撃: 脆弱性の発生条件と攻撃の回避手段

BREACH 攻撃は使用されている SSL/TLS プロトコルのバージョンに依存しないため、次の条件が揃っていれば、あらゆるタイプの暗号化スイートに対して攻撃が可能です。

  • ウェブアプリケーションが HTTP レベルの圧縮を使用して提供され、ユーザー提供のデータや静的な秘密鍵が HTTP の応答本体に反映される。
  • 攻撃者が検索対象を把握しており、HTTP 応答の長さを特定するためにユーザーとウェブアプリケーション間のトラフィックを監視できる。
  • 攻撃者が悪意のあるスクリプトを含んだウェブサイトへとユーザーを誘導でき、ターゲットウェブサイトにリクエストを送信するマン・イン・ザ・ブラウザを挿入できる。

HTTPS リクエストにプレーンテキストを挿入し、圧縮された HTTPS リクエストの長さを監視することが可能であれば、攻撃者は SSL ストリームに含まれるプレーンテキストの秘密鍵を繰り返し推測し、抽出できることになります。

BREACH 攻撃は数千回のリクエストで実行でき、60 秒以内に完了できるため、この攻撃を防ぐための完全かつ実用的な方法はありません。 可能な対策としては、HTTP 圧縮を無効にする(パフォーマンスの低下や帯域幅利用の増加を伴います)、秘密鍵をユーザー入力から切り離す、サーバーへのリクエストにレート制御をかけるなどといったことが挙げられます。 BREACH 攻撃対策の多くはアプリケーションに固有のもので、場合によっては、機密データの取り扱いについて情報セキュリティのベストプラクティスを改善する必要があります。 その他の防御手段としては、ウェブアプリケーションに脆弱性管理機能を実装する方法や、Web Application Firewall を使用して悪意のあるクライアントを検知し、ブロックする方法があります。

ウェブサイトやウェブアプリケーションを保護するためのシンプルかつ強力な手段

アカマイは、お客様が BREACH 攻撃への適切な防御策を講じるとともに、パフォーマンスへの影響についても評価できるよう、必要なソリューションを提供しています。 アカマイでは、弊社のプラットフォームをご使用のユーザーに対し、次の機能を備えた Kona Site Defender Web Security Solution のご使用を推奨しています。

  • Akamai Intelligent Platform の拡張性を利用し、アプリケーション層とネットワーク層の両方で DDoS 攻撃を回避する、強力な組み込み DDoS 対策機能。
  • 詳細なパケット調査によって、SQL インジェクション攻撃、クロスサイトスクリプティングなどのサイバー攻撃を検出し回避する、Web Application Firewall。
  • 弊社サーバーやお客様のオリジンに対するリクエストのレートを監視、制御することでアプリケーション層への攻撃を防ぐ、レート制御機能。

Kona Site Defender や、Akamai Intelligent Platform 上に構築されるその他の Cloud Security Solutions をご紹介します。