POODLE脆弱性問題

SSL 3.0における中間者による情報漏えいの脆弱性(CVE-2014-3556)。2014年10月に公表された。POODLEの名は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を発表したGoogleの研究者のBodo Moller氏とThai Duong氏、Krzysztof Kotowicz氏が命名した。

ブラウザが暗号化を処理する仕組みに存在する脆弱性で、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害して、SSL 3.0による通信を行うように仕向けることで、ブロック暗号の最後のパディングデータを改変することができ、データの漏洩を引き起こす。

1990年代に登場したSSL 3.0の暗号スイートの多くは、不安定なことや、鍵サイズの小ささ、バイアス(偏り)、単純にブラウザによるサポートが既に停止されたことなどから、既に利用されなくなっており、後継プロトコルであるTLSの新しいバージョンに取って代わられている。しかし、多くのTLSクライアントが、レガシーサーバと通信する際にプロトコルをSSL 3.0に切り替えることや、SSL 3.0はほとんどのウェブブラウザやウェブサーバでサポートされているため、その危険性が指摘されている。

POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、唯一の「暗号化」プロトコルがSSL 3.0である場合が問題である。Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。SSL 3.0への対応は打ち切りとなり、TLS 1.0以降への移行が望まれている。

関連記事

キーワードアクセスランキング

  • 小売りや卸、製造業などさまざまな業種を横断して、ものづくり、物流、購買などのプロセスが急速にデジタル化していくこと。既存の仕組みと異なること...(続きを読む)
  • プロジェクト管理用語として使用する場合、プロジェクトチームの制御が及ばない制限のことを指す。これらは管理される必要があるが、必ずしも問題であ...(続きを読む)
  • プロジェクト管理用語。プロジェクトの成功に(あるいは成功確率を上げるために)必要な外部環境や、起こるべきイベントが存在する場合がある。そのイ...(続きを読む)
  • 原材料の供給から商品が顧客に販売されるまでのプロセス(サプライチェーン)を最適化し、経営効率を高めるための管理手法。またはそのための情報シス...(続きを読む)
  •  Linuxとは、1991年にフィンランドのLinus Torvalds氏が開発した、UNIX互換のOSである。Linuxとはカーネル...(続きを読む)

  • サーバ仮想化の手法の1つ。ホストOSを別途必要とせず、ハードウェア上で直接稼働する仮想化プラットフォーム。ネイティブハイパーバイザと呼ばれる...(続きを読む)
  • M2M
    Machine to Machineの略で、モノとモノがインターネットでつながることを意味する。インターネットのつながりについて、従来は人と...(続きを読む)
  • 異なる機種間のデータ通信を実現するためにコンピュータが持つべき通信機能を、7階層に分割したモデル。ネットワークの機能を理解するための重要な考...(続きを読む)
  • プロジェクト管理用語。スコープ変更管理の目的は、承認済みのスコープの文章や要件に対する変更を管理することだ。スコープはプロジェクト定義(憲章...(続きを読む)
  • プロジェクト管理用語として使用する場合、プロジェクトに対する最終的な権限を持つ人物を指す。エグゼクティブスポンサーはプロジェクトの資金を提供...(続きを読む)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]