POODLE脆弱性問題とは?

SSL 3.0における中間者による情報漏えいの脆弱性(CVE-2014-3556)。2014年10月に公表された。POODLEの名は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を発表したGoogleの研究者のBodo Moller氏とThai Duong氏、Krzysztof Kotowicz氏が命名した。

ブラウザが暗号化を処理する仕組みに存在する脆弱性で、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害して、SSL 3.0による通信を行うように仕向けることで、ブロック暗号の最後のパディングデータを改変することができ、データの漏洩を引き起こす。

1990年代に登場したSSL 3.0の暗号スイートの多くは、不安定なことや、鍵サイズの小ささ、バイアス(偏り)、単純にブラウザによるサポートが既に停止されたことなどから、既に利用されなくなっており、後継プロトコルであるTLSの新しいバージョンに取って代わられている。しかし、多くのTLSクライアントが、レガシーサーバと通信する際にプロトコルをSSL 3.0に切り替えることや、SSL 3.0はほとんどのウェブブラウザやウェブサーバでサポートされているため、その危険性が指摘されている。

POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、唯一の「暗号化」プロトコルがSSL 3.0である場合が問題である。Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。SSL 3.0への対応は打ち切りとなり、TLS 1.0以降への移行が望まれている。

関連記事

キーワードアクセスランキング

  1. 1 日本株展望

    IT企業の戦略や業績、顧客動向はマクロとしての経済のゆくえに影響を受けざるを得ない。重要な指標の1つと言える日本株の指数の先行きについて解説...(続きを読む)

  2. 2 スプリント

    アジャイル開発プロジェクト管理用語。イテレーションに似たスクラムベースのアジャイル開発方式(続きを読む)

  3. 3 制約条件

    プロジェクト管理用語として使用する場合、プロジェクトチームの制御が及ばない制限のことを指す。これらは管理される必要があるが、必ずしも問題であ...(続きを読む)

  4. 4 企業買収

    ある企業が他社の株を支配的な保有数まで買い占めること。(合意による)友好的な場合もあれば、(合意を伴わない)敵対的な場合もある。...(続きを読む)

  5. 5 ユーザーストーリー

    アジャイル開発におけるプロジェクトの要求事項のことだ。ユーザーストーリーは、特定の要求事項の「誰が」「何を」「どうして」という要素を定義する...(続きを読む)

  6. 6 Microsoft Inspire

    米Microsoftがパートナー向けに展開するイベントで、2017年は米国ワシントンD.C.で開催した。2016年までは「Micros...(続きを読む)

  7. 7 リレーショナルデータベース(RDB)

    すべてのデータを表(テーブル)形式(行と列)で表現するデータ管理方式を持つデータベース。 (リレーショナルデータベースの)“リレーション”...(続きを読む)

  8. 8 サプライチェーンマネジメント(SCM)

    原材料の供給から商品が顧客に販売されるまでのプロセス(サプライチェーン)を最適化し、経営効率を高めるための管理手法。またはそのための情報シス...(続きを読む)

  9. 9 オーケストレーション

    システムを構成するプラットフォームやミドルウェア、サービス、アプリケーション、管理ツールなどの設定や管理を自律的に連携させること。...(続きを読む)

  10. 10 インメモリデータベース

    データをディスクではなくメモリから呼び出すことにより、高速な処理を実現する技術をともなったデータベース管理システム。通常コンピュータではディ...(続きを読む)

注目のキーワード

サービスレベル合意書(Service Level Agreement:SLA)
サービスプロバイダーが定義したサービスのレベルや責任、優先事項のほか、可用性やパフォーマンスとい...
続きを読む
FinTech
金融(Finance)とテクノロジ(Technology)を掛け合わせた造語。2015年は、メガバンクグループでFintec...
続きを読む
HaaS
「Hardware as a Service」の略称。ハードウェア自体をサービスとして提供すること。IaaSの一種である。...
続きを読む
機能部門マネージャー
プロジェクト管理用語として使用する場合、機能部門内のあなたが報告義務を負う人物を指す。通常、あな...
続きを読む
VMWorld
VMwareが例年8月に開催している年次カンファレンス。2017年は、前年秋に発表したAmazon Web Services(A...
続きを読む

キーワード解説とは

SpecialPR

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]