POODLE脆弱性問題とは?

SSL 3.0における中間者による情報漏えいの脆弱性(CVE-2014-3556)。2014年10月に公表された。POODLEの名は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を発表したGoogleの研究者のBodo Moller氏とThai Duong氏、Krzysztof Kotowicz氏が命名した。

ブラウザが暗号化を処理する仕組みに存在する脆弱性で、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害して、SSL 3.0による通信を行うように仕向けることで、ブロック暗号の最後のパディングデータを改変することができ、データの漏洩を引き起こす。

1990年代に登場したSSL 3.0の暗号スイートの多くは、不安定なことや、鍵サイズの小ささ、バイアス(偏り)、単純にブラウザによるサポートが既に停止されたことなどから、既に利用されなくなっており、後継プロトコルであるTLSの新しいバージョンに取って代わられている。しかし、多くのTLSクライアントが、レガシーサーバと通信する際にプロトコルをSSL 3.0に切り替えることや、SSL 3.0はほとんどのウェブブラウザやウェブサーバでサポートされているため、その危険性が指摘されている。

POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、唯一の「暗号化」プロトコルがSSL 3.0である場合が問題である。Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。SSL 3.0への対応は打ち切りとなり、TLS 1.0以降への移行が望まれている。

関連記事

キーワードアクセスランキング

  1. 1 日本株展望

    IT企業の戦略や業績、顧客動向はマクロとしての経済のゆくえに影響を受けざるを得ない。重要な指標の1つと言える日本株の指数の先行きについて解説...(続きを読む)

  2. 2 IoT

    Internet of Thingsの略で「モノのインターネット」などと言われることもある。もともとのコンセプトは、機械同士がネットワークで...(続きを読む)

  3. 3 リレーショナルデータベース(RDB)

    すべてのデータを表(テーブル)形式(行と列)で表現するデータ管理方式を持つデータベース。 (リレーショナルデータベースの)“リレーション”...(続きを読む)

  4. 4 スプリント

    アジャイル開発プロジェクト管理用語。イテレーションに似たスクラムベースのアジャイル開発方式(続きを読む)

  5. 5 農業IoT

    IoTやドローンなどを使い、農業の生産性などを効率化する取り組み。センサを使った農地の状況監視やITを用いたかかし、大規模農場へのドローンに...(続きを読む)

  6. 6 制約条件

    プロジェクト管理用語として使用する場合、プロジェクトチームの制御が及ばない制限のことを指す。これらは管理される必要があるが、必ずしも問題であ...(続きを読む)

  7. 7 人工知能(AI)

    「人工知能」が何なのかについての明確な定義は存在しない。人工知能学会のウェブサイトでも、人工知能の定義そのものが「議論の余地がある」とされて...(続きを読む)

  8. 8 Dreamforce

    Salesforce.comが毎年秋に開催する年次イベント。2016年は、最高技術責任者(CTO)を務めるParker Harris氏は、基...(続きを読む)

  9. 9 2020年のIT

    2020年に開催が決まった東京五輪を見据え、今後日本のIT環境も含めた変化の波が訪れることが予想される。従来のITに枠組みを越え、社会インフ...(続きを読む)

  10. 10 プランニングポーカー

    アジャイル開発プロジェクト管理用語。Mountain Goat SoftwareのMike Cohn氏が考案した見積もりゲーム。プランニング...(続きを読む)

注目のキーワード

ハイブリッドクラウド
社内で運用する「プライベートクラウド」と、AWSなど社外のクラウドである「パブリッククラウド」を必要...
続きを読む
OpenStack

 物理サーバを仮想化技術によって複数の仮想マシンに分けることで、クラウド環境を構築するためのオ...

続きを読む
インメモリデータベース
データをディスクではなくメモリから呼び出すことにより、高速な処理を実現する技術をともなったデータ...
続きを読む
アプリケーションプログラミングインタフェース(API)
既存のソフトウェアから一部の機能を呼び出して別のソフトウェアで利用できるようにするための、規約や...
続きを読む
プロジェクトマネジメントオフィス(Project Management Office、PMO)
プロジェクト管理用語。プロジェクトマネジメントオフィスは、プロジェクト管理プロセス、ツール、テク...
続きを読む

キーワード解説とは

SpecialPR