JPCERT コーディネーションセンター

MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起

各位

JPCERT-AT-2012-0027
JPCERT/CC
2012-08-23

JPCERT/CC Alert 2012-08-23


MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起

https://www.jpcert.or.jp/at/2012/at120027.html


I. 概要

Point-to-Point トンネリング プロトコル (PPTP) ベースの VPN 接続をする場合の認証メソッドとして広く使用されている Microsoft チャレンジ ハンドシェイク認証プロトコル version 2 (MS-CHAP v2) には、認証情報を第三者に窃取されるという問題があります。また、MS-CHAP v2 は、有線 LAN 、無線LAN の認証プロトコルとして使用される場合があります。

攻撃者は、中間者攻撃や無線通信の盗聴によって窃取したユーザの認証トラフィックから、MS-CHAP v2 のプロトコル上の脆さを使用して認証情報を取得する可能性があります。結果として、攻撃者は暗号化された通信を復号したり、取得した認証情報を使用してシステムに不正にアクセスしたりする可能性があります。

マイクロソフト セキュリティ アドバイザリ (2743314)
カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/security/advisory/2743314

日本マイクロソフト社によると、本問題を悪用する詳細な悪用コードが公開されているとのことです。外出先から社内システムへのアクセスなどに PPTPを使用した VPN 接続を使用している場合は、将来的に本問題を使用した攻撃が発生する可能性を踏まえ、「III. 対策」について検討することをお勧めいたします。


II. 対象

・MS-CHAP v2 を単体で利用して PPTP ベースの VPN 接続を行っているシス
テム
※ MS-CHAP v2 の認証トラフィックを別の手段で暗号化している場合は、
影響を受けません。

日本マイクロソフト社によると、Windows クライアントにおいて有線・無線LAN の認証プロトコルとして MS-CHAP v2 を使用する場合、PEAP と共に利用するオプションのみを提供しているため影響を受けないとのことです。また、その他の機器でも、多くの実装では PEAP/TLS 等が併用されることが一般的なため影響を受けないと思われますが、個々の製品への影響についてはそれぞれのベンダーの情報を参照してください。


III. 対策

新規にシステムを構築する場合やシステム更新を行う場合は、MS-CHAP v2を単体で使用せず、PEAP などの拡張プロトコルを併用するか、PPTP を使用しない構成 (IKEv2/IPSec や L2TP/IPSec など) にすることを検討してください。

現在運用中のシステム構成で、PEAP などの拡張プロトコルの併用や、PPTP以外の VPN 接続の使用が可能な場合は、これらの使用を検討してください。また、既存の構成で対応できない場合は、次年度の予算を確保するなど、将来的なシステムの更新について検討する事をお勧めいたします。

移行までの期間、MS-CHAP v2 単体での使用を継続する場合は、運用中のネットワーク機器やサーバの認証ログを定期的に確認するなど、不正なアクセスが行われていないことを確認してください。


IV. 参考情報

マイクロソフト セキュリティ アドバイザリ (2743314)
カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/security/advisory/2743314

日本のセキュリティチーム
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter