概要
ドイツ 国民 ID カード の Online-Ausweis-Funktion(eID スキーム)に、sPACE(Spoofing Password Authenticated Connection Establishment)攻撃 による 認証 偽装 の 脆弱性 が 存在 します。中間者(MITM)攻撃者 が 被害者 の 身元 を 偽装 して、政府、医療、金融 の リソース に 認証 する こと が 可能 です。
PACE(Password Authenticated Connection Establishment)プロトコル の 実装 上 の 問題 により、攻撃者 は 被害者 と eID サービス の 間 に 割り込み、被害者 の 認証 セッション を 乗っ取る こと が できます。この 攻撃 は 2024年2月15日 以前 の eID スキーム に 影響 し、身元 確認 が 必要 な 政府 サービス、医療 サービス、金融 サービス など 広範 な 領域 で の 不正 アクセス に つながる 可能性 が あります。研究者 により sPACE と 名付けられた この 攻撃 手法 は、プロトコル の 暗号化 チャネル 確立 時 の 弱点 を 突く もの です。影響 の 範囲 が 極めて 広い ため、eID インフラ の 管理者 は 最新 の セキュリティ 情報 を 確認 する こと を 推奨 します。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.6 |
| 深刻度 | CRITICAL |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権 | 不要 |
| CWE | CWE-290(Authentication Bypass by Spoofing) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| Online-Ausweis-Funktion (eID) | ドイツ連邦政府 | 2024年2月15日 以前 |
修正 バージョン と 回避策
- 修正: eID インフラ の 更新 について ドイツ 連邦 情報 セキュリティ 庁(BSI)の 情報 を 確認 して ください
- 回避策: 現時点 で 公開 されている 具体的 な 回避策 は ありません。eID を 使用 する サービス 提供者 は サーバー 側 で の 追加 検証 を 検討 して ください
- 補足: 本脆弱性 は ドイツ 国内 の eID エコシステム に 限定 されますが、同様 の PACE プロトコル を 使用 する 他国 の eID システム にも 類似 の リスク が 存在 する 可能性 が あります
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。