アップル、プッシュ通知サービスでSSL 3.0のサポートを終了へ--POODLE脆弱性に対処

Steven Musil (CNET News) 翻訳校正: 川村インターナショナル

2014-10-23 16:21

 古い暗号化プロトコルSecure Socket Layer(SSL)3.0の脆弱性が先頃発見されたことを受けて、Appleは米国時間10月22日、同社のプッシュ通知サービスでSSL 3.0のサポートを終了することを明らかにした。

 Appleは同社の開発者向けサイトで、10月29日にSSL 3.0からTransport Layer Security(TLS)に移行すると発表した。TLSはSSLの後継プロトコルで、SSLより安全性が高い。先頃発見された「POODLE」脆弱性を悪用すると、ネットワークにアクセスできる攻撃者は、暗号化された情報を解読することができる。

 Appleはこの発表の中で、「SSL 3.0だけを使っているプロバイダーは、『Apple Push Notification』サービスが今後も期待通りに機能し続けるようにするため、できるだけ早くTLSをサポートする必要がある。TLSとSSL 3.0の両方をサポートするプロバイダーは影響を受けず、変更の必要はない」と述べている。

 開発者が互換性をテストできるようにするため、Appleは、「Provider Communication」インターフェース上の開発環境で既にSSL 3.0を無効にしたという。

 「Padding Oracle On Downgraded Legacy Encryption」の頭字語であるPOODLEが問題なのは、それがウェブサイトとウェブブラウザの両方で使われているからだ。SSL 3.0を使わないように両方を設定し直す必要がある。SSL 3.0がサポートされている限り、POODLEは問題として残るだろう。

 15年前にリリースされたSSL 3.0はかつて、使用されていたウェブ暗号化プロトコルの中で最も高度なものだった。ミシガン大学の調査によると、SSL 3.0を今でも使っているウェブサイトは、ほとんどないという。しかし、攻撃者はブラウザにSSL 3.0へのダウングレードを強制することができるので、POODLEが脅威であることに変わりはない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. セキュリティ

    企業のDX推進を支えるセキュリティ・ゼロトラスト移行への現実解「ゼロトラスト・エッジ」戦略とは

  3. 経営

    2023年データとテクノロジーはどう変わるか 分析プラットフォームベンダーが明かす予測と企業戦略

  4. セキュリティ

    リモートワークで浮き彫りとなった「従来型VPN」、課題解決とゼロトラスト移行を実現する最適解

  5. セキュリティ

    第2世代EDRはココが違う 「自動化」でエンドポイントセキュリティの運用負荷・コストを削減

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]