JPCERT/CC、SSLv3の脆弱性に注意喚起

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は10月16日、「JPCERT/CC Alert - JVNVU#98283300: SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)」においてSSL v3のセキュリティ脆弱性について伝えた。該当するソフトウェアを使用している場合は説明されている対策方法などを適用し、早期に問題に対処することが推奨される。

主要ブラウザはHTTPSでの通信において、上位プロトコルをサポートしていないサーバと通信する際はSSL v3などへプロトコルのバージョンをダウングレードして通信を行う機能を提供している。この場合、SSL v3においてCBCモードで通信が実施されると、中間者攻撃を通じて通信内容を解読される危険性が指摘されている。

この問題はOpenSSLなどの実装系をはじめSSL v3をサポートしているすべてのソフトウェアが影響を受ける可能性がある。JPCERTコーディネーションセンターはこうした問題を回避するため、サーバまたはクライアントにおいてSSL v3を無効にすることを推奨しているほか、TLS Fallback Signaling Cipher Suite Value (SCSV)などの活用を推奨している。