編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

POODLE脆弱性問題とは?

SSL 3.0における中間者による情報漏えいの脆弱性(CVE-2014-3556)。2014年10月に公表された。POODLEの名は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を発表したGoogleの研究者のBodo Moller氏とThai Duong氏、Krzysztof Kotowicz氏が命名した。

ブラウザが暗号化を処理する仕組みに存在する脆弱性で、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害して、SSL 3.0による通信を行うように仕向けることで、ブロック暗号の最後のパディングデータを改変することができ、データの漏洩を引き起こす。

1990年代に登場したSSL 3.0の暗号スイートの多くは、不安定なことや、鍵サイズの小ささ、バイアス(偏り)、単純にブラウザによるサポートが既に停止されたことなどから、既に利用されなくなっており、後継プロトコルであるTLSの新しいバージョンに取って代わられている。しかし、多くのTLSクライアントが、レガシーサーバと通信する際にプロトコルをSSL 3.0に切り替えることや、SSL 3.0はほとんどのウェブブラウザやウェブサーバでサポートされているため、その危険性が指摘されている。

POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、唯一の「暗号化」プロトコルがSSL 3.0である場合が問題である。Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。SSL 3.0への対応は打ち切りとなり、TLS 1.0以降への移行が望まれている。

関連記事

キーワードアクセスランキング

  • コンピュータ上で基本的な機能を担うソフトウェアのこと。CPU、メモリ、入出力装置の管理などを行う中核部分を「カーネル」と呼び、OS上で動作す...(続きを読む)
  • IT企業が年明けに発表する経営トップによる所感。毎年数多くの年頭所感が寄せられ、総覧するとその年のトピックが見えてくる。...(続きを読む)
  • アジャイル開発プロジェクト管理用語。イテレーションに似たスクラムベースのアジャイル開発方式(続きを読む)
  • プロジェクト管理用語として使用する場合、プロジェクトチームの制御が及ばない制限のことを指す。これらは管理される必要があるが、必ずしも問題であ...(続きを読む)
  • プロジェクト管理用語。プロジェクトの成功に(あるいは成功確率を上げるために)必要な外部環境や、起こるべきイベントが存在する場合がある。そのイ...(続きを読む)
  • 開発プロジェクト管理用語。関連するユーザーストーリーの集合。「大きなユーザーストーリー」としても捉えることができる。 ...(続きを読む)
  • サーバ仮想化の手法の1つ。ホストOSを別途必要とせず、ハードウェア上で直接稼働する仮想化プラットフォーム。ネイティブハイパーバイザと呼ばれる...(続きを読む)
  • プロジェクト管理用語。全体の戦略的方向性に関する指針を提示する義務を負う、ハイレベルの利害関係者のグループ。スポンサーではないが、戦略的な情...(続きを読む)
  • データを一元的に格納する領域。...(続きを読む)
  • 製品やサービスが予期しない方法で改善されることで、ものごとを成し遂げる方法と市場の双方に変革がもたらされるというイノベーションを表すビジネス...(続きを読む)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]