1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. SSL バージョン3.0に深刻な脆弱性「POODLE」が確認される

SSL バージョン3.0に深刻な脆弱性「POODLE」が確認される

SSL バージョン3.0に深刻な脆弱性「POODLE」が確認されるインターネット上でデータを暗号化して送受信するプロトコルの一つである「SSL」(Secure Sockets Layer)のバージョン3.0に深刻な脆弱性が確認された。「POODLE」(Padding Oracle On Downgraded Legacy Encryption:プードル)と呼ばれるこの脆弱性は、米Googleのセキュリティ担当者が発見し、同社のブログにて報じているほか、英文のセキュリティアドバイザリをPDFで公開している。

この脆弱性を悪用すると、攻撃者は暗号化された通信の内部からユーザーの個人情報などの機密情報を盗み出すことが可能になるという。

SSLはバージョン3.0の次から名称が「TLS」(Transport Layer Security)に変更されている。SSL 3.0は公開から18年経っており、現在広く利用されているのはTLSの方だが、未だにSSL 3.0を使っているWebサイトやWebアプリが数多く存在するという。

また、Webブラウザーの多くは、HTTPSサーバーのバグなどによりページに接続できない場合、SSL 3.0を含む古いバージョンのSSL/TLSで接続を再試行する(フォールバックと呼ばれる)ことがあるため、SSL 3.0をサポートしている。

Googleは、システム管理者はWebサイトのSSLのバージョンを更新するよう推奨しているほか、WebブラウザーによるSSL 3.0のサポートを無効にするメカニズム「TLS_FALLBACK_SCSV」を公開している。これを利用すると、攻撃者がWebブラウザーによるフォールバックでSSL 3.0を使用するように誘導することを阻止する効果が期待できるという。また、Mozillaも、今後数ヶ月の間にWebブラウザー「Firefox」によるSSL 3.0のサポートを終了する考えを表明している。

ユーザー側の対策としては、最新版のWebブラウザーを利用することが肝要だ。

・(英文)Googleのセキュリティブログ上の該当記事
・(英文)Mozillaのセキュリティブログ上の該当記事
・(英文:リンク先PDF)This POODLE Bites: Exploiting The SSL 3.0 Fallback(Googleが公開したセキュリティアドバイザリ)
・(英文)Amazonが公開したセキュリティアドバイザリ(CVE-2014-3566)
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明(ITmedia)

関連キーワード:

SSL

TLS

Webブラウザー

脆弱性

  • Dropboxのアカウント情報が約700万件流出と報じられる
  • カテゴリートップへ
  • Heartbleed(ハートブリード)とは