MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起
最終更新: 2012-08-23
各位
JPCERT-AT-2012-0027
JPCERT/CC
2012-08-23
<<< JPCERT/CC Alert 2012-08-23 >>>
MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120027.html
I. 概要
Point-to-Point トンネリング プロトコル (PPTP) ベースの VPN 接続をす
る場合の認証メソッドとして広く使用されている Microsoft チャレンジ ハン
ドシェイク認証プロトコル version 2 (MS-CHAP v2) には、認証情報を第三者
に窃取されるという問題があります。また、MS-CHAP v2 は、有線 LAN 、無線
LAN の認証プロトコルとして使用される場合があります。
攻撃者は、中間者攻撃や無線通信の盗聴によって窃取したユーザの認証トラ
フィックから、MS-CHAP v2 のプロトコル上の脆さを使用して認証情報を取得
する可能性があります。結果として、攻撃者は暗号化された通信を復号したり、
取得した認証情報を使用してシステムに不正にアクセスしたりする可能性があ
ります。
マイクロソフト セキュリティ アドバイザリ (2743314)
カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/security/advisory/2743314
日本マイクロソフト社によると、本問題を悪用する詳細な悪用コードが公開
されているとのことです。外出先から社内システムへのアクセスなどに PPTP
を使用した VPN 接続を使用している場合は、将来的に本問題を使用した攻撃
が発生する可能性を踏まえ、「III. 対策」について検討することをお勧めい
たします。
II. 対象
・MS-CHAP v2 を単体で利用して PPTP ベースの VPN 接続を行っているシス
テム
※ MS-CHAP v2 の認証トラフィックを別の手段で暗号化している場合は、
影響を受けません。
日本マイクロソフト社によると、Windows クライアントにおいて有線・無線
LAN の認証プロトコルとして MS-CHAP v2 を使用する場合、PEAP と共に利用
するオプションのみを提供しているため影響を受けないとのことです。また、
その他の機器でも、多くの実装では PEAP/TLS 等が併用されることが一般的な
ため影響を受けないと思われますが、個々の製品への影響についてはそれぞれ
のベンダーの情報を参照してください。
III. 対策
新規にシステムを構築する場合やシステム更新を行う場合は、MS-CHAP v2
を単体で使用せず、PEAP などの拡張プロトコルを併用するか、PPTP を使用し
ない構成 (IKEv2/IPSec や L2TP/IPSec など) にすることを検討してください。
現在運用中のシステム構成で、PEAP などの拡張プロトコルの併用や、PPTP
以外の VPN 接続の使用が可能な場合は、これらの使用を検討してください。
また、既存の構成で対応できない場合は、次年度の予算を確保するなど、将来
的なシステムの更新について検討する事をお勧めいたします。
移行までの期間、MS-CHAP v2 単体での使用を継続する場合は、運用中のネッ
トワーク機器やサーバの認証ログを定期的に確認するなど、不正なアクセスが
行われていないことを確認してください。
IV. 参考情報
マイクロソフト セキュリティ アドバイザリ (2743314)
カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/security/advisory/2743314
日本のセキュリティチーム
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ