POODLE脆弱性問題とは?

SSL 3.0における中間者による情報漏えいの脆弱性(CVE-2014-3556)。2014年10月に公表された。POODLEの名は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を発表したGoogleの研究者のBodo Moller氏とThai Duong氏、Krzysztof Kotowicz氏が命名した。

ブラウザが暗号化を処理する仕組みに存在する脆弱性で、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害して、SSL 3.0による通信を行うように仕向けることで、ブロック暗号の最後のパディングデータを改変することができ、データの漏洩を引き起こす。

1990年代に登場したSSL 3.0の暗号スイートの多くは、不安定なことや、鍵サイズの小ささ、バイアス(偏り)、単純にブラウザによるサポートが既に停止されたことなどから、既に利用されなくなっており、後継プロトコルであるTLSの新しいバージョンに取って代わられている。しかし、多くのTLSクライアントが、レガシーサーバと通信する際にプロトコルをSSL 3.0に切り替えることや、SSL 3.0はほとんどのウェブブラウザやウェブサーバでサポートされているため、その危険性が指摘されている。

POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、唯一の「暗号化」プロトコルがSSL 3.0である場合が問題である。Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。SSL 3.0への対応は打ち切りとなり、TLS 1.0以降への移行が望まれている。

関連記事

キーワードアクセスランキング

  1. 1 日本株展望

    IT企業の戦略や業績、顧客動向はマクロとしての経済のゆくえに影響を受けざるを得ない。重要な指標の1つと言える日本株の指数の先行きについて解説...(続きを読む)

  2. 2 IoT

    Internet of Thingsの略で「モノのインターネット」などと言われることもある。もともとのコンセプトは、機械同士がネットワークで...(続きを読む)

  3. 3 ブロックチェーン

     ブロックチェーンとは、公開鍵暗号による電子署名技術とP2P(Peer-to-Peer)ネットワーク内での、合意形成により確定された...(続きを読む)

  4. 4 スプリント

    アジャイル開発プロジェクト管理用語。イテレーションに似たスクラムベースのアジャイル開発方式(続きを読む)

  5. 5 制約条件

    プロジェクト管理用語として使用する場合、プロジェクトチームの制御が及ばない制限のことを指す。これらは管理される必要があるが、必ずしも問題であ...(続きを読む)

  6. 6 リレーショナルデータベース(RDB)

    すべてのデータを表(テーブル)形式(行と列)で表現するデータ管理方式を持つデータベース。 (リレーショナルデータベースの)“リレーション”...(続きを読む)

  7. 7 2020年のIT

    2020年に開催が決まった東京五輪を見据え、今後日本のIT環境も含めた変化の波が訪れることが予想される。従来のITに枠組みを越え、社会インフ...(続きを読む)

  8. 8 サービタイゼーション

    製造業において、これまでのように生産した製品を販売することで稼ぐのではなく、製品をサービスとして提供することによって稼ぐ時代に変わってきてい...(続きを読む)

  9. 9 前提条件

    プロジェクト管理用語。プロジェクトの成功に(あるいは成功確率を上げるために)必要な外部環境や、起こるべきイベントが存在する場合がある。そのイ...(続きを読む)

  10. 10 農業IoT

    IoTやドローンなどを使い、農業の生産性などを効率化する取り組み。センサを使った農地の状況監視やITを用いたかかし、大規模農場へのドローンに...(続きを読む)

注目のキーワード

ユーティリティコンピューティング
公共サービスのような従量制の商用サービスとして販売されるオンラインコンピューティングやオンライン...
続きを読む
AWS re:Invent
Amazon Web Servicesの年次イベント。2017年は11月最終週から12月第一週にかけて米ラスベガスで開催され...
続きを読む
クリックストリーム分析
ユーザーがウェブページでクリックするアイテムに基づいて、ユーザーのオンラインでの活動を分析すること。
続きを読む
ベアメタル型ハイパーバイザ
サーバ仮想化の手法の1つ。ホストOSを別途必要とせず、ハードウェア上で直接稼働する仮想化プラットフォ...
続きを読む
エラスティックコンピューティング
キャパシティ計画やピーク時のエンジニアリング要求にわずらわされることなく、ピーク時の需要に合うよ...
続きを読む

キーワード解説とは