JPCERT コーディネーションセンターと情報処理推進機構(IPA)が共同で運営するJVN(Japan Vulnerability Notes)は、SSL v3プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)が存在すると10月16日に発表した。
SSL v3プロトコルに対して、中間者攻撃(Man-In-the-Middle Attack)によって通信内容を解読する攻撃手法である「POODLE(Padding Oracle On Downgraded Legacy Encryption)」が報告されている。
中間者攻撃を通じてPOODLE攻撃を行う場合、Webブラウザなどに実装されている、上位プロトコルで通信できない場合にプロトコルをダウングレードして通信する機能(protocol downgrade dance)を悪用し、SSL v3で通信を行うように仕向け、SSL v3でブロック暗号のCBCモード暗号化を行っている通信に対して、通信内容を解読する。この手法はパディングオラクル攻撃の一種で、HTTP Cookieなどの情報を取得する方法が用いられる。
この脆弱性への対策として、各ベンダーが提供している情報に基づくソフトウェアの最新版へのアップデートを求めており、OpenSSL Projectでもこの脆弱性の修正を含むバージョンを公開している。
なお、サーバまたはクライアント、あるいはその両方でSSL v3を無効にすることでも、この脆弱性に対処できる。
【関連リンク】
・JVN
・「SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)」
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
