ブログ - MS-CHAP v2 の認証情報漏えいの問題
VPNや無線LANの認証でよく使われているMS-CHAP v2ですが,仕様上の問題で情報漏洩が発生する問題が発見されています.
これは仕様上の問題なので,パッチ等は用意されなく,他の方法に入れ替えるしか対策はありません.
ただし,実質影響を受けるのはMS-CHAP v2 を単体で利用して PPTP ベースの VPN 接続を行っているシステムのみで,MS-CHAP v2 の認証トラフィックを別の手段で暗号化している場合は影響を受けません.
仕組みと影響範囲に付いては,以下のマイクロソフトのブログが詳しく解説しています.
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx
・VPNをPPTPでMS-CHAP v2のみの場合
・有名な?VPNサーバ
・頻繁に使っている
というような条件があれば,盗聴が可能ということでしょう.攻撃ツールが公開されているとはいえ,狙われる対象かどうかは自分の胸に聞きながら,対策をうつということでしょうか.
対策としては,別の認証方法に変更するという事ですが,次のような簡単なレベルから恒久対策へ進む事ができるでしょう.
・VPN接続ログを確認する.
・パスワードを変更する.
・暗号化方式を変更する
これは仕様上の問題なので,パッチ等は用意されなく,他の方法に入れ替えるしか対策はありません.
ただし,実質影響を受けるのはMS-CHAP v2 を単体で利用して PPTP ベースの VPN 接続を行っているシステムのみで,MS-CHAP v2 の認証トラフィックを別の手段で暗号化している場合は影響を受けません.
仕組みと影響範囲に付いては,以下のマイクロソフトのブログが詳しく解説しています.
セキュリティ アドバイザリ 2743314 カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる を公開
http://blogs.technet.com/b/jpsecurity/archive/2012/08/21/3515331.aspx
・VPNをPPTPでMS-CHAP v2のみの場合
・有名な?VPNサーバ
・頻繁に使っている
というような条件があれば,盗聴が可能ということでしょう.攻撃ツールが公開されているとはいえ,狙われる対象かどうかは自分の胸に聞きながら,対策をうつということでしょうか.
対策としては,別の認証方法に変更するという事ですが,次のような簡単なレベルから恒久対策へ進む事ができるでしょう.
・VPN接続ログを確認する.
・パスワードを変更する.
・暗号化方式を変更する
