Googleの研究者たちが発見した、SSL 3.0の深刻な脆弱性について、セキュリティ各社が分析結果を相次いで発表した。 この脆弱性(CVE-2014-3566)は、14日に発表され、通称「POODLE」(Padding Oracle On Downgraded Legacy Encryption)と呼ばれている。攻撃者は、Webサーバとクライアント間でのやりとりを悪用し、わざとTLSからSSL 3.0にまでバージョンを下げることで、ネットワーク通信を解読可能にできるという。その結果、認証情報(クッキー)を窃取される可能性があるとのこと。 SSL 3.0は、TLSの前身のプロトコルで10年以上前のものだが、このバージョンは現在でも広く使用されており、ほとんどの現行Webブラウザでサポートされている。そのため、非常に多くの個人や組織に影響するおそれがある。 チェック・ポイント・ソフトウェア・テクノロジーズでは、「この脆弱性は、ShellshockやHeartbleedと異なり、リモートからは悪用できないため、両脆弱性ほど深刻な欠陥ではありません。しかし、銀行の口座情報やログイン情報、電子メールなどの重要情報を攻撃者に盗み取られるおそれがあることから、脆弱性がある場合には対策を講じる必要があります」とコメントしている。 またトレンドマイクロでは、「POODLE」を利用する攻撃の仕組みを解説するとともに、対応・回避策の1つとして、Webサイトの管理者、エンドユーザーともに、SSL 3.0を無効にする方法を紹介している。ただし、「SSL 3.0の無効は、すべてのユーザにおいて実用ではない」点に留意するよう、その背景も解説している。