POODLE脆弱性問題

SSL 3.0における中間者による情報漏えいの脆弱性（CVE-2014-3556）。2014年10月に公表された。POODLEの名は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を発表したGoogleの研究者のBodo Moller氏とThai Duong氏、Krzysztof Kotowicz氏が命名した。

ブラウザが暗号化を処理する仕組みに存在する脆弱性で、攻撃者がサーバで使用可能なプロトコルを検証するハンドシェイクプロセスを侵害して、SSL 3.0による通信を行うように仕向けることで、ブロック暗号の最後のパディングデータを改変することができ、データの漏洩を引き起こす。

1990年代に登場したSSL 3.0の暗号スイートの多くは、不安定なことや、鍵サイズの小ささ、バイアス（偏り）、単純にブラウザによるサポートが既に停止されたことなどから、既に利用されなくなっており、後継プロトコルであるTLSの新しいバージョンに取って代わられている。しかし、多くのTLSクライアントが、レガシーサーバと通信する際にプロトコルをSSL 3.0に切り替えることや、SSL 3.0はほとんどのウェブブラウザやウェブサーバでサポートされているため、その危険性が指摘されている。

POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、唯一の「暗号化」プロトコルがSSL 3.0である場合が問題である。Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。SSL 3.0への対応は打ち切りとなり、TLS 1.0以降への移行が望まれている。

Heartbleedと異なる傾向--2014年下期、「Shellshock」狙った攻撃が広範囲に

2014年9月後半～11月前半は、オープンソースのシェル「GNU Bash」に潜む脆弱性「Shellshock」を狙う攻撃が発生した。サーバに対してDDoS攻撃やスパムを送るボットを埋め込もうとする動きが確認された。

2015-03-05 19:42
“信用あるサービス”を悪用した攻撃を初確認--2014年は「POS脅威元年」

トレンドマイクロは、POSシステムを狙ったマルウェアの検出数が増加したことを受けて2014年は「POS脅威元年」と表現。サーバで活用されているOSSに深刻な脆弱性があったことにも注意を促している。

2015-02-27 18:27
脆弱性のあるサーバにパッチ適用は5割--「時間がかかる」のが課題

「脆弱性が確認された全サーバに対して更新プログラムを適用している」のは5割、残りの約半数は脆弱性の確認されたサーバに対する更新プログラムの対応が十分にできていない――。トレンドマイクロの調べで明らかになっている。

2014-12-25 17:45
MS、12月の定例パッチで過去のセキュリティ更新も修正

米国時間12月9日のセキュリティ更新は、それ自体がさまざまな問題を修正するものだったが、Microsoftは同日に特定のプラットフォームを対象とした2件のセキュリティ更新の修正版も再配信し、Internet Explorerに新しいPOODLE脆弱性対策機能を追加した。このPOODLE対策機能の説明や実装方法について幾つかの矛盾点が浮上している。

2014-12-11 11:32
SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘

グーグルに所属するSSL専門家が、多くのTLS実装に対して警告を出した。SSLバージョン3に影響するPOODLE攻撃と同じような攻撃につながる脆弱性を含んでいるという。

2014-12-10 11:33
カスペルスキー、セキュリティ管理ツール提供--端末の脆弱性情報を収集

カスペルスキーは、セキュリティ管理ツール「Kaspersky Systems Management」の販売を開始した。Windows端末の脆弱性情報を収集し、パッチが必要な端末を特定し適用する。

2014-11-21 17:07
Google Chrome 39安定版、SSLv3フォールバックがデフォルトで無効に--POODLE脆弱性の対策で

グーグルは米国時間11月18日、ウェブブラウザの最新安定版「Google Chrome 39」（バージョン39.0.2171.65）を公開した。「Google Chrome」の最新版からは、安全性の低い旧バージョンのSSLを積極的に廃止し、使用されているバージョンに関するさらに詳しい情報を提供しようという同社の姿勢がうかがえる。

2014-11-20 09:21
グーグル、セキュリティテストツール「nogotofail」を公開--TLS/SSLの正しい実装を促進

グーグルは、よくある設定ミスや既知のバグによってHTTPS接続の安全性が損なわれることを防ぐためのセキュリティテストツールをリリースした。

2014-11-06 09:30
グーグル、「Chrome」でのSSL 3.0サポート無効化へ着々

6週間後にリリース予定の「Chrome 39」では、SSL 3.0フォールバック機能がデフォルトで無効になる。これは、ChromeブラウザでSSL 3.0のサポートを停止するというグーグルの計画の最初のステップとなる。

2014-10-31 10:18
マイクロソフトがSSL 3.0の脆弱性「POODLE」に対処するFix itを公開

マイクロソフトは、2014年10月に発見されたSSL 3.0の脆弱性「POODLE」に対処するFix itを公開した。

2014-10-30 10:58

サイバー攻撃情報漏えい

キーワードアクセスランキング

デジタル変革（DX）

小売りや卸、製造業などさまざまな業種を横断して、ものづくり、物流、購買などのプロセスが急速にデジタル化していくこと。既存の仕組みと異なること...(続きを読む)
オペレーティングシステム（Operating System：OS）

コンピュータ上で基本的な機能を担うソフトウェアのこと。CPU、メモリ、入出力装置の管理などを行う中核部分を「カーネル」と呼び、OS上で動作す...(続きを読む)
制約条件

プロジェクト管理用語として使用する場合、プロジェクトチームの制御が及ばない制限のことを指す。これらは管理される必要があるが、必ずしも問題であ...(続きを読む)
前提条件

プロジェクト管理用語。プロジェクトの成功に（あるいは成功確率を上げるために）必要な外部環境や、起こるべきイベントが存在する場合がある。そのイ...(続きを読む)
要求事項

プロジェクト管理用語として使用する場合、製品またはサービスが満たすべき動作、外見、性能を説明したものを指す。要求事項とは一般に、プロジェクト...(続きを読む)
ベアメタル型ハイパーバイザ

サーバ仮想化の手法の1つ。ホストOSを別途必要とせず、ハードウェア上で直接稼働する仮想化プラットフォーム。ネイティブハイパーバイザと呼ばれる...(続きを読む)
成果物（Deliverable）

プロジェクトによって生み出される具体的な成果のこと。すべてのプロジェクトは成果物を生み出す。成果物は、文書、計画、コンピュータシステム、建築...(続きを読む)
Unityモード

仮想化用語。VMwareにおけるモードの1つである。これはゲストOS上で動作しているアプリケーションを、あたかもホストOS上で動作しているか...(続きを読む)
Microsoft Build

Microsoftが開催する開発者向けカンファレンス。「Build 2018」は、米ワシントン州シアトルで米国時間5月7日から9日に開催され...(続きを読む)
アルゴリズム

ソフトウェアプログラムに組み込まれ、データセットの分析を実行する算法。複数の計算などの手順で構成されることが多い。アルゴリズムの目的はデータ...(続きを読む)

POODLE脆弱性問題

関連記事

キーワードアクセスランキング

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

NEWSLETTERS