SSL 3.0の脆弱性「POODLE」、セキュリティ各社が分析結果を相次いで発表

エンタープライズセキュリティ

注目記事

2014.10.17（金）15:37

　Googleの研究者たちが発見した、SSL 3.0の深刻な脆弱性について、セキュリティ各社が分析結果を相次いで発表した。

　この脆弱性（CVE-2014-3566）は、14日に発表され、通称「POODLE」（Padding Oracle On Downgraded Legacy Encryption）と呼ばれている。攻撃者は、Webサーバとクライアント間でのやりとりを悪用し、わざとTLSからSSL 3.0にまでバージョンを下げることで、ネットワーク通信を解読可能にできるという。その結果、認証情報（クッキー）を窃取される可能性があるとのこと。

　SSL 3.0は、TLSの前身のプロトコルで10年以上前のものだが、このバージョンは現在でも広く使用されており、ほとんどの現行Webブラウザでサポートされている。そのため、非常に多くの個人や組織に影響するおそれがある。

　チェック・ポイント・ソフトウェア・テクノロジーズでは、「この脆弱性は、ShellshockやHeartbleedと異なり、リモートからは悪用できないため、両脆弱性ほど深刻な欠陥ではありません。しかし、銀行の口座情報やログイン情報、電子メールなどの重要情報を攻撃者に盗み取られるおそれがあることから、脆弱性がある場合には対策を講じる必要があります」とコメントしている。

　またトレンドマイクロでは、「POODLE」を利用する攻撃の仕組みを解説するとともに、対応・回避策の1つとして、Webサイトの管理者、エンドユーザーともに、SSL 3.0を無効にする方法を紹介している。ただし、「SSL 3.0の無効は、すべてのユーザにおいて実用ではない」点に留意するよう、その背景も解説している。

《冨岡晶》