POODLE(プードル)とは

POODLE(プードル)とは、インターネット上でデータを暗号化して送受信するプロトコルの一つである「SSL」(Secure Sockets Layer)のバージョン3.0に存在する脆弱性(CVE-2014-3566)のこと。なお、POODLEは、「Padding Oracle On Downgraded Legacy Encryption」の頭文字を取ったもの。

SSLはバージョン3.0の次から名称が「TLS」(Transport Layer Security)に変更されている。SSL 3.0は1995年に発表されたプロトコルだが、脆弱性が発見された時点では、SSL 3.0を使っているWebサイトが数多く存在していた。また、Webブラウザーの多くは、HTTPSサーバーのバグなどによりページに接続できない場合、SSL 3.0を含む古いバージョンのSSL/TLSで接続を再試行する(フォールバックと呼ばれる)ことがあるため、SSL 3.0をサポートしていた。

脆弱性は、Webブラウザーが暗号化を処理する仕組みに存在するもので、この脆弱性を悪用すると、攻撃者はSSL 3.0による通信を行うように仕向けることで、暗号化された通信の内部からユーザーの個人情報などの機密情報を盗み出すことが可能になるという。

独立行政法人 情報処理推進機構(IPA)は、実際に脆弱性を悪用した攻撃には複数の条件が必要で、ただちに悪用が可能な脆弱性ではないと指摘している。しかし、SSL 3.0は数多くのサイトで利用されており、サイト側の対応状況によっては、影響範囲が広範に及ぶことが考えられる。

IPAは、サーバー管理者およびユーザーが採るべき対策として、SSL 3.0を無効化することを挙げるとともに、対策の要否を検討し、必要に応じて実施するよう呼びかけている。

SSL 3.0 の脆弱性対策について(CVE-2014-3566)(IPA)
SSL バージョン3.0に深刻な脆弱性「POODLE」が確認される(セキュリティニュース)

セキュリティ用語辞典一覧ページへ

関連キーワード:
  • アップルがOS X向けの最新版「10.10」とiOSの最新版「8.1」を公開
  • カテゴリートップへ
  • 金融庁がネットバンキング被害額を17億1,400万円(2014年上半期)と発表