【重点】 ■ 在全球使用的聊天工具「Rocket.Chat」中,全球首次进行了「从密码使用角度的安全性评估」 ■ 发现了可能导致「消息伪造」、「破解加密消息」和「攻击长期化」等重大漏洞,并建构了避免攻击的对策方法 ■ 预定在工业安全领域被认为是高难度的国际会议Black Hat Asia 2026 Briefings上发表演讲 由国立研究开发法人情报通信研究机构(NICT,理事长:大野 英男)、国立大学法人大阪大学(校长:熊谷 淳)、日本电气株式会社(NEC,董事 代表运行役社长 兼 CEO:森田 隆之)组成的联合研究团队,针对全球约1,200万人商业使用的地端聊天工具「Rocket.Chat」*1,利用「规格分析、实作调查、概念验证」的手法,全球首次(根据NICT调查)实施了「从密码使用角度的安全性评估」。团队发现了会导致「消息伪造」、「破解加密消息」、「攻击长期化」等的重大漏洞,并领先黑客设计了利用这些漏洞的攻击情境,验证其有效性,同时建构了对策方法。这些安全性评估结果及对策方法已报告给开发企业,并指出了针对整体协定设计的改进点。 这些有助于防范利用漏洞攻击的成果论文已被学术会议ACSAC 2025录取,同时也决定在工业安全领域被认为是高难度的国际会议Black Hat Asia 2026 Briefings(举办地:新加坡,4月24日)上发表演讲,获得了学术界和产业界的双重高度评价。 【背景】 迄今为止,商用聊天工具以Slack或Microsoft Teams为代表的软件即服务(SaaS)形式为主流,通常将从服务提供到数据管理的大部分工作委托给营运商。然而近年来,由于对企业高机密数据管理的担忧,以及使用外国企业SaaS带来的跨境数据管理风险,可以将程序安装在自组织管理的服务器上、将消息和用户数据保留在自组织内的地端聊天工具开始受到关注。 作为地端商用聊天工具的「Rocket.Chat」,采用了文本消息的端到端加密*2功能,以安全处理高机密数据。尽管其在国内外民间企业和外国地方政府中的普及率不断提高,但「Rocket.Chat」的端到端加密由于其独特的规格和实作的复杂性,并未进行充分的安全验证。因此,存在遭受未知漏洞攻击的风险,需要立即采取对策。 【本次成果】 在本研究中,我们利用「规格分析、实作调查、概念验证」的手法,针对地端聊天工具「Rocket.Chat」,全球首次进行了「从密码使用角度的安全性评估」(参考图1)。结果发现,由于多个协定设计之间缺乏协调等结构性问题的重叠,导致了「消息伪造」和「破解加密消息」的漏洞,此外,由于同时用于加密和解密的密钥*3防泄漏功能的不完善,导致了「攻击长期化」的漏洞。 针对这些漏洞,为了阐明假设攻击成立的条件,我们设计了5种具体的攻击情境。此外,作为概念验证,我们实作了攻击情境并验证了各情境的确可以成立。 安全性评估的结果已于2024年5月报告给开发企业Rocket.Chat Technology公司,并开始了与该公司的合作。当时,我们提出了避免已发现攻击的对策方法,并指出了针对整体协定设计的改进点。随后,在2024年10月至2025年12月期间,针对影响较大的攻击情境实施了修补程序的应用和功能修改(发行说明 https://github.com/RocketChat/Rocket.Chat.ReactNative/releases/tag/4.51.0 中包含了对此次合作的特别致谢(special thanks))。 本成果有助于防范利用漏洞的攻击,并预定在工业安全领域被认为是高难度的国际会议Black Hat Asia 2026 Briefings上发表演讲,在学术界和产业界都获得了高度评价。