POODLE脆弱性問題

SSL 3.0における中間者による情報漏えいの脆弱性(CVE-2014-3556)。2014年10月に公表された。POODLEの名は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を発表したGoogleの研究者のBodo Moller氏とThai Duong氏、Krzysztof Kotowicz氏が命名した。

ブラウザが暗号化を処理する仕組みに存在する脆弱性で、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害して、SSL 3.0による通信を行うように仕向けることで、ブロック暗号の最後のパディングデータを改変することができ、データの漏洩を引き起こす。

1990年代に登場したSSL 3.0の暗号スイートの多くは、不安定なことや、鍵サイズの小ささ、バイアス(偏り)、単純にブラウザによるサポートが既に停止されたことなどから、既に利用されなくなっており、後継プロトコルであるTLSの新しいバージョンに取って代わられている。しかし、多くのTLSクライアントが、レガシーサーバと通信する際にプロトコルをSSL 3.0に切り替えることや、SSL 3.0はほとんどのウェブブラウザやウェブサーバでサポートされているため、その危険性が指摘されている。

POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、唯一の「暗号化」プロトコルがSSL 3.0である場合が問題である。Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。SSL 3.0への対応は打ち切りとなり、TLS 1.0以降への移行が望まれている。

関連記事

キーワードアクセスランキング

  • Linux

     Linuxとは、1991年にフィンランドのLinus Torvalds氏が開発した、UNIX互換のOSである。Linuxとはカーネル...(続きを読む)

  • ウェアラブル
    文字通り、身につけられる端末によるITの新しい活用方法を指す。具体的には「グーグルグラス」で知られるメガネ型端末や、アップルが開発していると...(続きを読む)
  • Amazon S3
    Amazonが提供する「Amazon Simple Storage Services(S3)」というクラウドストレージサービスのこと。...(続きを読む)
  • SaaS
    「Software as a Service」の略称。Salesforce.comが提供する顧客情報管理システム(CRM)「Salesfor...(続きを読む)
  • ビッグデータ
    企業内外の膨大なデータから有益な情報を見つけ出そうという動きを「ビッグデータ」という。企業の内側に存在するデータベース(構造化データ)などは...(続きを読む)

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. モバイル

    デバイス管理でゼロトラストを実現、急成長したスタートアップが選択したMDMツール
  2. 運用管理

    数千台規模のAppleデバイス管理を効率化、ビットキーが実現した運用革新とは?
  3. 経営

    ガートナーが示す「2026年の戦略的テクノロジ・トレンド」トップ10
  4. 運用管理

    Mac向けオールインワンソリューションの活用でセキュリティ課題を解消&IT担当者の負担を軽減
  5. 経営

    採用から3カ月で即戦力化!「自走型ITエンジニア育成」実践法
ホワイトペーパーライブラリー

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]