グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明

　Googleのセキュリティチームは米国時間10月14日、Secure Sockets Layer（SSL） 3.0に深刻なセキュリティ脆弱性があることを明らかにした。SSL 3.0はかなり前に導入された暗号化プロトコルでありながら、依然として多く使用されている。

Dropbox、ハッキングされたことを否定--パスワード700万件流出の疑いに対して見解

　同チームのBodo Möller氏によると、「この脆弱性により、セキュアな接続のプレーンテキストがネットワーク攻撃者によって割り出される恐れがある」という。

　SSL 3.0はTLS 1.0、TLS 1.1、TLS 1.2に引き継がれてきたが、TLS実装の多くがレガシーシステムに対応し、ユーザーエクスペリエンスを円滑化するために、SSL 3.0との下位互換性を維持している。

　通常、このセキュリティプロトコルのハンドシェークは、認証されたバージョンのネゴシエーションを行う。このようにして、クライアントとサーバの両方に共通する最新のプロトコルバージョンが使用される。

　しかし、ここに損害をもたらす問題が潜んでいる。「クライアントとサーバが両方とも1つのバージョンのTLSに対応している場合、SSL 3.0が提供するセキュリティレベルは依然として同等だ。多くのクライアントはプロトコルをダウングレードして、サーバ側の相互運用性の問題に対処しようとする」（Möller氏）

　Padding Oracle On Downgraded Legacy Encryption（POODLE）と呼ばれる攻撃の一例では、攻撃者が「セキュアな」HTTPクッキーや、HTTP Authorizationヘッダーの内容といった、そのほかの署名なしトークンを盗むことが可能だ。SSL 3.0ではRC4暗号でも危険性が指摘されている。

　RC4暗号化の始まりは1987年にさかのぼり、まさにその年から自動車並みの信頼性を得ている。RC4を解読する方法は何通りもある。だがそのことが、RC4やSSL 3.0の使用を終わらせることはなかった。実際、2013年になっても、依然としてウェブ接続の40％超でRC4が使用されているとMicrosoftは述べている。

　POODLEは、今日のウェブ上に存在するこの脆弱性を悪用する方法を新たに示した。Möller氏の説明によると、それは、BEASTとして知られる既知の中間者攻撃の形式を利用することで可能になる。

　POODLEによる攻撃には、SSL 3.0接続を確立する必要がある。したがって、ユーザーはクライアントプログラム、その典型としてウェブブラウザ、あるいはクライアントかサーバのいずれかでSSL 3.0を無効にすれば、この攻撃を回避することが可能だ。ただし、Möller氏が指摘するとおり、それらに共有する唯一の「暗号化」プロトコルがSSL 3.0である場合にはお手上げだ。この場合、安全でない暗号化を回避するために本格的なアップデートが必要だ。

　Googleは、TLS_FALLBACK_SCSVをウェブまたはSSHサーバでサポートすることを推奨している。これにより、失敗した接続の再試行をサーバが許可することを防ぐことができる。その結果、ブラウザが最新のプロトコルで接続できない時にSSL 3.0をデフォルトで使うことを防ぐことができる。

　Möller氏は次のように結論付けている。

　「『Google Chrome』とわれわれのサーバは2月以来、TLS_FALLBACK_SCSVをサポートしている。そのため、互換性の問題もなく使用が可能という証拠を十分に得ている。加えて、Google Chromeは本日、 SSL 3.0へのフォールバックを無効にする変更のテストを開始する予定だ。この変更は、一部サイトに影響を与える可能性があるが、それらのサイトはアップデートをただちに受ける必要がある。今後数カ月でわれわれのクライアント製品からSSL 3.0に対するサポートが取り除かれることを期待している」