ニュース
» 2014年10月15日 09時54分 UPDATE

SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明

Googleが発見したSSL 3.0の脆弱性「POODLE」は、悪用するとパスワードやクッキーにアクセスできてしまう。SSL 3.0は15年前のバージョンではあるが、まだ依存しているWebサイトも多数あり、多くのWebブラウザがサポートしている。

[佐藤由紀子,ITmedia]

 米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。

 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。

 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。

 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。

 Googleはシステム管理者はWebサイトのSSLのバージョンの更新を強く勧めている。

 また、WebブラウザによるSSL 3.0のサポートを無効にするメカニズム「TLS_FALLBACK_SCSV」を公開し、同メカニズムの採用を呼び掛けた。GoogleのWebブラウザChromeおよび同社のサーバは既にこのメカニズムを2月から採用しており、互換性の問題もなく使えているとしている。

 同日、Mozillaは11月25日にリリース予定のFirefox 34でSSL 3.0のサポートを無効にすると発表した。Mozillaとミシガン大学の共同調査によると、Alexaの上位100万ドメインでSSL 3.0に依存しているのは0.42%に上るという。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -