POODLE脆弱性問題とは?

SSL 3.0における中間者による情報漏えいの脆弱性(CVE-2014-3556)。2014年10月に公表された。POODLEの名は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を発表したGoogleの研究者のBodo Moller氏とThai Duong氏、Krzysztof Kotowicz氏が命名した。

ブラウザが暗号化を処理する仕組みに存在する脆弱性で、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害して、SSL 3.0による通信を行うように仕向けることで、ブロック暗号の最後のパディングデータを改変することができ、データの漏洩を引き起こす。

1990年代に登場したSSL 3.0の暗号スイートの多くは、不安定なことや、鍵サイズの小ささ、バイアス(偏り)、単純にブラウザによるサポートが既に停止されたことなどから、既に利用されなくなっており、後継プロトコルであるTLSの新しいバージョンに取って代わられている。しかし、多くのTLSクライアントが、レガシーサーバと通信する際にプロトコルをSSL 3.0に切り替えることや、SSL 3.0はほとんどのウェブブラウザやウェブサーバでサポートされているため、その危険性が指摘されている。

POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、唯一の「暗号化」プロトコルがSSL 3.0である場合が問題である。Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。SSL 3.0への対応は打ち切りとなり、TLS 1.0以降への移行が望まれている。

関連記事

キーワードアクセスランキング

  1. 1 日本株展望

    IT企業の戦略や業績、顧客動向はマクロとしての経済のゆくえに影響を受けざるを得ない。重要な指標の1つと言える日本株の指数の先行きについて解説...(続きを読む)

  2. 2 IoT

    Internet of Thingsの略で「モノのインターネット」などと言われることもある。もともとのコンセプトは、機械同士がネットワークで...(続きを読む)

  3. 3 スプリント

    アジャイル開発プロジェクト管理用語。イテレーションに似たスクラムベースのアジャイル開発方式(続きを読む)

  4. 4 制約条件

    プロジェクト管理用語として使用する場合、プロジェクトチームの制御が及ばない制限のことを指す。これらは管理される必要があるが、必ずしも問題であ...(続きを読む)

  5. 5 GDPR

    EU一般データ保護規則のこと。EU加盟国に適用されてきた「データ保護指令」に替わり、新たに採択されたもの。適用が開始される2018年5月には...(続きを読む)

  6. 6 企業決算

    IT企業の決算では売上高や経常利益などの全体的な数値のほか、クラウド、ハードウェア、サービスなど事業分野別の業績やコストの推移などを把握する...(続きを読む)

  7. 7 農業IoT

    IoTやドローンなどを使い、農業の生産性などを効率化する取り組み。センサを使った農地の状況監視やITを用いたかかし、大規模農場へのドローンに...(続きを読む)

  8. 8 2020年のIT

    2020年に開催が決まった東京五輪を見据え、今後日本のIT環境も含めた変化の波が訪れることが予想される。従来のITに枠組みを越え、社会インフ...(続きを読む)

  9. 9 人工知能(AI)

    「人工知能」が何なのかについての明確な定義は存在しない。人工知能学会のウェブサイトでも、人工知能の定義そのものが「議論の余地がある」とされて...(続きを読む)

  10. 10 リレーショナルデータベース(RDB)

    すべてのデータを表(テーブル)形式(行と列)で表現するデータ管理方式を持つデータベース。 (リレーショナルデータベースの)“リレーション”...(続きを読む)

注目のキーワード

de:code
日本マイクロソフトが開催する開発者向けの年次カンファレンス。4回目となる2017年は、5月23~24日の2日...
続きを読む
IPv6(Internet Protocol Version 6)
インターネットの通信規約(プロトコル)の1つ。現在主流となっているIPv4に代わるものとして、インター...
続きを読む
プロジェクト定義(憲章)
プロジェクト管理用語。プロジェクトを開始する前に、プロジェクトの全体的な目標を知っておくことに加...
続きを読む
バーンダウンチャート
イテレーション単位でプロジェクトの時間と残り作業量をグラフ化した...
続きを読む
AWS re:Invent
Amazon Web Servicesの年次イベント。2016年は11月最終週から12月第一週にかけてラスベガスで開催した。...
続きを読む

キーワード解説とは

SpecialPR