2014/10/20(月曜日)
日本クラウドセキュリティアライアンス 理事 諸角 昌宏
CSA Blogに「Poodle – How Bad Is Its Bite? (Here’s the Data)」の記事がアップされましたので、その概要を紹介します。(2014年10月17日)。記事については、以下のURLを参照して下さい。https://blog.cloudsecurityalliance.org/2014/10/17/poodle-how-bad-is-its-bite-heres-the-data/
POODLE (Padding Oracle on Downgraded Legacy Encryption)は、10月14日に報告された脆弱性で、クラウドサービスに大きな影響を与えるものです。Poodleの詳細なレポートが、Googleの3人のセキュリティアナリスト(Bodo Moller, Thai Duong, Krzysztof Kotowicz)によって作成されました。レポートは以下のURLより入手可能ですので、Poodleの詳細を理解したい人はこちらを参照してください。
Poodlsは、SSL v3あるいはSecure Sockets LayerプロトコルVersion3に影響を与えるもので、攻撃者がcookieをハイジャックまたは復号化できてしまうものです。これにより、パスワードなしにアカウントやセッションを乗っ取ることができてしまいます。 SSL V3自体は、すでに古いもので、TLSに置き換えられていますが、下位互換性のためにApache等のウエブーサーバでサポートされています。このフォールバック機能により、TLSで接続できなかった場合に、SSL v3で接続されてしまうことになり、この脆弱性の影響を受けることになります。
解決策としては、サーバ側でSSL V3プロトコルを無効にし、TLSv1.0以上で接続するようにすることです。もう1つ、企業のブラウザおよびプロキシー(フォワードプロキシー)で、SSL v3を無効にし、TLSv1.0以上を許可するようにすることです。別の対策として、OpenSSLが出しているパッチ(CVE-2014-3566)を適用し、TLS_FALLBACK_SCSVを有効にする方法があります。ただし、このパッチは、サーバとクライアントの両方に適用されている場合に有効になるため、どちらかが適用されていない場合にはSSL v3にダウングレードしてしまう可能性があります。したがって、これはTLSに対応していない(SSL v3で 接続しなければならない)サーバにどうしてもアクセスしなければならないケースで、社内システム等で攻撃者から狙われる可能性の無い環境である場合の処置 と考えた方が良いようです。これは、パッチを適用する必要が無いということではなく、パッチを適用することは推奨されますが、根本的な対応は、あくまでSSL v3を無効にすることです(このパッチの内容等については、こちらのubuntuの情報を参照)。
現時点(記事が出された時点)で、まだ61%のクラウドサービスがPoodleの脆弱性に対応していないということです。クラウドプロバイダの早急な対策が必要とのことです。