IT EVANGELIST.NET ロゴ

クライアントの課題をITで解決する

SSL 3.0に深刻な脆弱性「POODLE」が見つかる

公開日: 2014/10/17
カテゴリー: セキュリティ

最近、bashやOpenSSLの深刻なバグが立て続けに見つかりましたが、今度はSSLにもバグが見つかったようです。
SSL 3.0 POODLE
IT mediaエンタープライズ:SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明

米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。

INTERNET Watch:Google、SSL 3.0の脆弱性「POODLE」を公表、SSL 3.0は今後サポート廃止の意向

「POODLE(Padding Oracle On Downgraded Legacy Encryption)」と命名されたこの脆弱性は、SSL 3.0で使用されるCBC暗号アルゴリズムに問題があるもの。脆弱性が悪用された場合、攻撃者が傍受したHTTPSトラフィックから、暗号化されたトラフィックの一部(認証Cookieなど)が解読される恐れがある。

対象はSSL 3.0だけだが多くのサーバが当てはまる

今度のSSLのバグは、対象がSSL 3.0と15年前の古いバージョンですが、いまだにこのバージョンを使っているWebサイトが多数あるということと、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしているのが問題になっているようです。

この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。

ユーザー側でも対応が必要な場合がある

サーバ側での対応となりますので、一般の方にとっては関係無いニュースのように思えますが、この対策を行ったサーバへのアクセスが特定のブラウザで出来なくなるケースが発生しています。

GoogleのWebブラウザChromeおよび同社のサーバは既にこのメカニズムを2月から採用しており、互換性の問題もなく使えているとしている。

Microsoftも15日、この問題に関するセキュリティアドバイザリを公開した。脆弱性はすべてのOSに影響のあるものだが、攻撃のシナリオを考慮すると、ユーザーにとって高い危険性のある脆弱性であるとは考えられないとした上で、調査が完了次第、適切な措置を講じる予定だと説明。攻撃の回避策として、グループポリシーでSSL 3.0を無効にする方法や、Internet ExplorerでSSL 3.0を無効にする方法などを挙げている。

つまり、Chromeでは大丈夫ですが、MicrosoftのInternet Explorerで対応が必要ということです。

具体的には、Windows 7 または 8の場合だとInternet Explorer 11 へのアップデートが必要で、Windows Vista 以前のOSの場合にはInternet Explorerは対応できませんので、Chrome等の他のブラウザへの移行が必要です。

また、ブラウザの更新や別ブラウザのインストールが難しい方は、こちらのページの「推奨するアクション」にある「Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする」に従って、Internet Explorer の設定を変更する必要があります。

企業等では、Internet Explorerしか使えない、という場合もあると思いますのでご注意ください。


弊社では、長年、主にWeシステム開発を必要とするWebコンサルティングに携わって来ましたが、RFPの作成、プロジェクトマネジメント、システム設計及び構築、運用といった段階から「ゴール」を目指す、という事も行なっております。

まずは、現状の問題点を洗い出す「監査」や「Web解析」も行なっておりますので、Webサイト構築、Webサイトリニューアル、Webシステム構築・リニューアルをご検討の場合には、是非ご相談下さい。

タグ:
Nexusシリーズ まとめ バナー データ通信SIM まとめ バナー 二見・鳥羽・伊勢神宮 まとめ バナー

検索

ウチムラヒロシ アイコン 運営者:ウチムラ ヒロシ

神戸出身。 コラムを書いたり、コンサルティングしたり、企画書を書いたり、コードを書いたり、サーバ組んだりしてます。

関連サイト

喰意地 kuiiji