2014.10.19 12:01|カテゴリ:Security

一般利用者ができることをやろう SSL3.0の脆弱性 凶悪な「POODLE」対策


 2014年10月14日にGoogleのセキュリティチームが公表したSSL3.0の深刻な脆弱性「POODLE((Padding Oracle On Downgraded Legacy Encryption)」。
 

Today we are publishing details of a vulnerability in the design of SSL version 3.0. This vulnerability allows the plaintext of secure connections to be calculated by a network attacker. I discovered this issue in collaboration with Thai Duong and Krzysztof Kotowicz (also Googlers).
Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback



 
 「プードル」という可愛らしい名称とは裏腹に、攻撃者が悪用すると暗号化された通信内容の一部を解読される可能性があるなど、深刻な問題を引き起こしかねない脆弱性です。可愛らしいプードルではなく、まるで狂犬病にかかった凶悪なプードルというところでしょうか。
 
 SSL3.0は18年前に利用が始まっており今となっては古いバージョンですが、いまだにこのバージョンを使うWebサイトが多数あります。以下は某地方銀行のサイトの調査結果ですが、このWebサイトをはじめ、地方銀行などではいまだSSL3.0が使用されているところが少なくないようです。

PoodleAttackCheck01.jpg


 銀行サイトなどで暗号化された通信内容を傍受され、その内容が解読されてしまうと、預金などの資産に対し被害が及ぶ可能性があります。
 
 「POODLE」脆弱性については、サーバーとクライアント(通常ブラウザ)側が対応する必要がありますが、サービス提供中のサーバが対応するにはまだまだ時間がかかりますし、利用者がサーバに対しどうこうできるわけでもありません。
 
 では、一般的な利用者が自衛するためには何をすべきでしょう?
 
 それは比較的簡単で「POODLE」脆弱性の影響を受けないブラウザを使用すればよいのです。
 
 まずはお使いのブラウザが「POODLE」脆弱性に対し、脆弱かどうかを確認しましょう。以下のサイトを利用します。
 
 SSLv3 Poodle Attack Check
 
 上記サイトにアクセスし、以下が表示されたら脆弱性があります。
 
PoodleAttackCheck02.jpg 
 
 
 以下が表示されたら脆弱性はありません。
 
PoodleAttackCheck03.jpg
 
 
 もし、脆弱性があると表示されたら、脆弱性のないバージョンに変更するか、他のブラウザを利用するとよいでしょう。
  
 また、ブラウザによっては設定を変更することでSSL3.0を無効化することができるものもあります。
 

Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする Internet Explorer の詳細設定のセキュリティを変更することにより、SSL 3.0 プロトコルを無効にすることができます。 HTTPS リクエストに使用される既定のプロトコルのバージョンを変更するためには、次のステップを行います。 Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。 [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。 [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。 [OK] をクリックします。 終了し、Internet Explorer を再起動します。   注: この回避策を適用した後、Internet Explorer は、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしない Web サーバーに接続できなくなります。
マイクロソフト セキュリティ アドバイザリ 3009008


 
 FireFoxでは「SSL Version Control 」という拡張機能を導入することでSSL3.0を無効化することができます。


来月 (2014 年 11 月)のアップデートまでは、SSLv3は標準で有効になっています。安全に Web を閲覧するためにも、SSL Version Control アドオンを利用して、SSLv3を無効にしてください。
SSL 3.0 の POODLE 脆弱性への対応について | Mozilla Japan ブログ



 ChromeやFireFoxは今後SSL3.0自体を無効化することを公表しています。いずれそれらにバージョンアップするべきでしょう。 
 
 
 なお、すでに述べたように現時点ではまだSSL3.0に依存しているWebサイトが存在しています。SSL3.0を無効化したり、無効化されたバージョンを使うと、それらのサイトにアクセスできなくなりますので、その点にはご注意を。

関連記事


Dropboxのログイン情報700万件が漏えい 日本人らしきアカウントも!|I believe in technology
Dropboxのログイン情報とされるデータがテキストサイトPastebinに掲載されています。


【感染有無の確認方法付き】Macを狙ったワームが1万7000台に感染中|I believe in technology
セキュリティソフト「Dr.Web」を開発しているロシアのセキュリティベンダー「Doctor Web」によると、1万7000台以上のMacが「Mac.BackDoor.iWorm」というワームに感染し、ボットネットを構築していることが判明したそうです。


 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。