SSL 3.0に深刻な脆弱性「POODLE」が見つかる

  • 投稿日
  • 更新日
  • 著者 株式会社リソース・シェアリング
  • カテゴリー セキュリティ

【PR】当Webサイトのコンテンツにはプロモーション(広告)が含まれています

スポンサードサーチ

最近、bashやOpenSSLの深刻なバグが立て続けに見つかりましたが、今度はSSLにもバグが見つかったようです。
SSL 3.0 POODLE
IT mediaエンタープライズ:SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明

米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。

INTERNET Watch:Google、SSL 3.0の脆弱性「POODLE」を公表、SSL 3.0は今後サポート廃止の意向

「POODLE(Padding Oracle On Downgraded Legacy Encryption)」と命名されたこの脆弱性は、SSL 3.0で使用されるCBC暗号アルゴリズムに問題があるもの。脆弱性が悪用された場合、攻撃者が傍受したHTTPSトラフィックから、暗号化されたトラフィックの一部(認証Cookieなど)が解読される恐れがある。

目次

対象はSSL 3.0だけだが多くのサーバが当てはまる

今度のSSLのバグは、対象がSSL 3.0と15年前の古いバージョンですが、いまだにこのバージョンを使っているWebサイトが多数あるということと、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしているのが問題になっているようです。

この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。

ユーザー側でも対応が必要な場合がある

サーバ側での対応となりますので、一般の方にとっては関係無いニュースのように思えますが、この対策を行ったサーバへのアクセスが特定のブラウザで出来なくなるケースが発生しています。

GoogleのWebブラウザChromeおよび同社のサーバは既にこのメカニズムを2月から採用しており、互換性の問題もなく使えているとしている。

Microsoftも15日、この問題に関するセキュリティアドバイザリを公開した。脆弱性はすべてのOSに影響のあるものだが、攻撃のシナリオを考慮すると、ユーザーにとって高い危険性のある脆弱性であるとは考えられないとした上で、調査が完了次第、適切な措置を講じる予定だと説明。攻撃の回避策として、グループポリシーでSSL 3.0を無効にする方法や、Internet ExplorerでSSL 3.0を無効にする方法などを挙げている。

つまり、Chromeでは大丈夫ですが、MicrosoftのInternet Explorerで対応が必要ということです。

具体的には、Windows 7 または 8の場合だとInternet Explorer 11 へのアップデートが必要で、Windows Vista 以前のOSの場合にはInternet Explorerは対応できませんので、Chrome等の他のブラウザへの移行が必要です。

また、ブラウザの更新や別ブラウザのインストールが難しい方は、こちらのページの「推奨するアクション」にある「Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする」に従って、Internet Explorer の設定を変更する必要があります。

企業等では、Internet Explorerしか使えない、という場合もあると思いますのでご注意ください。

ECサイト&マーケットプレイスサイトを低コスト・短納期で構築するなら

多言語・多通貨対応ECサイト&マーケットプレイスサイト構築パッケージ CS-Cart は、B2C、B2B、B2B2C、B2B2Bのどのビジネスモデルにも対応したECサイト&マーケットプレイスサイトを低コスト・短納期で構築が可能です。

ECサイトやマーケットプレイスサイトの構築を検討している場合には、是非ご検討ください。

CS-Cart

経営課題の解決でお困りではありませんか?

DXを始めとするITを使った経営課題の解決が上手くいっていない企業は数多くあります。

それは、単なるソリューションの導入や、社内人材への丸投げとなっており、課題解決がゴールになっていないからです。

そのためには、経営とITを理解した人材が、経営者層と共に取り組み、経営者の頭の中を可視化することが必須要件です。

現在、1時間の無料オンライン・コンサルティングを実施しております。

是非この機会にご相談ください。

ご相談はこちらから

経営課題を解決するWebサイト構築の最適解は?

経営課題を解決するWebサイトとは、何をおいてもWebサイトに集客する事が必須要件です。

そうなると、最強のWebサイトとは「検索エンジンへの登録と分析、GA4での現状分析ができ、集客のための実施施策に落とし込みができ、コンバージョンに繋げられ、改善の分析ができるWebサイト」一択です。

まずは、現状のWebサイトが経営課題を解決することができるのかをまずご相談ください。

ご相談はこちらから

ECサイトの最適解はクライアント毎に異なります

経営課題を解決する最適なECサイト、越境ECサイト、BtoB ECサイト、マーケットプレイスを構築するためのシステムは、クライアント毎に異なります。

まずは、御社にとって経営課題を解決するには、どういったシステムが必要であり、ASP、SaaS、パッケージ、フルスクラッチのどれが最適なのかの検証が必要です。

ご相談はこちらから

スポンサードサーチ

CentOS