Endpoint Protection

 View Only

Poodle: 古いバージョンの SSL の脆弱性がもたらす新しい脅威 

Oct 19, 2014 09:36 PM

Poodle vulnerability.png

古いバージョンの SSL プロトコルに新しい脆弱性が確認されています。非常に多くの Web サーバーで、この古い技術がサポートされているので、今回の脆弱性は新たな脅威をもたらします。SSL における中間者による情報漏えいの脆弱性(SSL Man In The Middle Information Disclosure Vulnerability)(CVE-2014-3566)の影響を受けるのは、1996 年に登場した SSL バージョン 3.0 ですが、今では後継プロトコルである TLS の新しいバージョンに取って代わられています。しかし、SSL 3.0 プロトコルはほとんどの Web ブラウザと多数の Web サーバーでサポートされているため、脆弱性は現在でも悪用される恐れがあります。

SSL と TLS は両方ともインターネット通信のセキュアプロトコルであり、2 台のコンピュータ間のトラフィックを暗号化します。多くの TLS クライアントは、レガシーサーバーと通信する必要がある場合に、使用するプロトコルを SSL 3.0 にダウングレードします。サーバーで使用可能なプロトコルを検証するハンドシェイクプロセスを攻撃者が侵害して、新しいプロトコルがサポートされている場合でも SSL 3.0 の使用を強制できてしまう点に脆弱性が存在します。

脆弱性を発表した Google 社によれば、攻撃者が悪用に成功すると、中間者(MITM)攻撃を実行してセキュア HTTP cookie を復号して、被害者のオンラインアカウントの情報を盗んだり、アカウントを操作したりできるようになります。攻撃は、サーバー側とクライアント側の両方で実行可能です。

今回の脆弱性を悪用した攻撃とある面で類似しているのが、Heartbleed 脆弱性を悪用した攻撃です。Heartbleed の影響を受ける OpenSSL は、暗号プロトコル SSL と TLS の実装として最も普及しているものです。この場合も、安全なはずの接続から攻撃者がデータを盗み出す可能性があります。

ただし、Heartbleed とは異なり、攻撃者がハンドシェイクプロセスを侵害するには、クライアントとサーバー間のネットワークにアクセスする必要があります。そのため、攻撃経路として考えられるのは、公共の Wi-Fi ホットスポットです。攻撃者がネットワークにアクセスする必要があることから、この問題は Heartbleed ほど深刻なものではありません。

SSL 3.0 のサポートを無効にするか、または SSL 3.0 における CBC モードの暗号化を無効にすることで十分に問題を緩和できますが、互換性の問題が発生する可能性があります。このため、Google 社は TLS_FALLBACK_SCSV をサポートすることを勧めています。この仕組みにより、失敗した接続の再試行に起因する問題を解決して、ブラウザが SSL 3.0 を使用するよう攻撃者が仕向けることを防止することができます。

シマンテックの保護対策

SSL 3.0 プロトコルの使用を検出するように設計された監査シグネチャが SEP(Symantec Endpoint Protection)用にリリースされています。監査シグネチャは、悪質ではないアプリケーションに関連するトラフィックは遮断しませんが、企業ネットワーク上に不要なソフトウェアがある場合には、ネットワーク内のどのエンドポイントで実行されているのかを SEP の管理者が確認できるようにします。これにより、管理者は必要な対応を行うことができます。

監査シグネチャは Symantec Endpoint Protection 12.1 の初期リリースには含まれていません。監査シグネチャは SEP 12.1 RU2 以降で動作します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.