希望の党公式サイトがオープン
昨日10月3日に希望の党の公式サイトがオープンしました。カゴヤのレンタルサーバーにApache + PHP5.6.6構成で構築されているようです。HTTPS化されており、GMOグルーバルサインの証明書が使われています。
希望の党公式サイトの脆弱性
希望の党公式サイトを見ていて気づいたのですが、SSLv3が有効になっているようです。
SSLv3は1995年にできたプロトコルで、POODLEなどの致命的な脆弱性が発見されており、オラクルパディング攻撃ができてしまいます。簡単に言うと通信内容を盗み見したり中間者攻撃ができるようになります。RFC7568ではSSLv3の使用を停止するよう呼びかけられています。
希望の党の公式サイトでは、下記のコマンド結果のようにSSLv3でのネゴシエーションを確立することができてしまいました。
$ openssl s_client -connect kibounotou.jp:443 -ssl3 CONNECTED(00000003) depth=1 /C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2 verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/OU=Domain Control Validated/CN=www.kibounotou.jp i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2 1 s:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2 i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA --- Server certificate -----BEGIN CERTIFICATE----- MIIG3jCCBcagAwIBAgIMGZZ6NXqn+snyR7AaMA0GCSqGSIb3DQEBCwUAMEwxCzAJ BgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMSIwIAYDVQQDExlB (中略) VW77vlqWRXm/zoCUWAAEIR/Q3LKiYUoQuCbfYz6JEEzqRYiFY01DPgPuhz7Db/CS leLePHOR0vtY4208e3oXeqB5wBbWY4V32jX8oD2WvtL6QObZOrAJpPLWH7L3DEzJ l4F8Ez7sapwk+3FWUfDe59VgNDY1L3ti6yIWi3fRykJszA== -----END CERTIFICATE----- subject=/OU=Domain Control Validated/CN=www.kibounotou.jp issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2 --- No client certificate CA names sent --- SSL handshake has read 3841 bytes and written 436 bytes --- New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : SSLv3 Cipher : DHE-RSA-AES256-SHA Session-ID: 8D99E3FE101203AF530F091A83E175DCBE84DF8BA0C5F21C8BEFF1B58C80B432 Session-ID-ctx: Master-Key: 853F8036900BC911021DDB53F3B3BBBD19CCC1CBBFD2167B9347B64777FF7C3C229F36DDAEA960BFC60B1FA34A45E47A Key-Arg : None Start Time: 1507053234 Timeout : 7200 (sec) Verify return code: 0 (ok) ---
希望の党がやるべきこと
SSLv3を無効にしてTLS通信のみにした方が良いです。Apacheのconfファイルに以下を追加してリロードしましょう。
SSLProtocol all -SSLv2 -SSLv3
これで脆弱性対応ができます。って、この内容を希望の党のWebサイト担当の人に伝えた方が良いのかな。
追記
希望の党の公式Twitterアカウントに連絡してみました。
貴党の公式サイトに脆弱性があるのを発見いたしました。詳細および解決法を↓に書いております。政治的スタンスは異なりますが、日本の将来のために貴党の活躍を願っております。脆弱性につきましてご検討頂ければと思います。https://t.co/ceGwYT63mH
— 齊藤貴義@サイバーメガネ (@miraihack) 2017年10月3日
Netcraftのセキュリティリスクランキングでも、希望の党の公式サイトは10段階評価中の9で非常に高いです。
SSLv3サポートが有効になっていることが赤く警告されています。
さらに追記
希望の党側で対策されたようです!SSLv3のネゴシエーションを試みても失敗するようになりました。中の人、GJです。
% openssl s_client -connect kibounotou.jp:443 -ssl3 CONNECTED(00000003) 82146:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64.50.6/src/ssl/s3_pkt.c:1145:SSL alert number 40 82146:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64.50.6/src/ssl/s3_pkt.c:566:
希望の政治 - 都民ファーストの会講義録 (中公新書ラクレ)
- 作者:小池 百合子
- 発売日: 2017/08/08
- メディア: 新書