Check Point Press Releases

メディア・アラート:チェック・ポイントの脅威リサーチ・チーム、SSL 3.0の深刻な脆弱性「POODLE」の概要とその影響を発表

2014年10月17日

ゲートウェイからエンドポイントまでの包括的セキュリティを提供するCheck Point® Software Technologies Ltd.(インターナショナル本社:イスラエル、会長兼CEO:ギル・シュエッド)は本日、SSL 3.0の深刻な脆弱性「POODLE」の概要とその影響を発表しました。

10月14日火曜日、Googleの研究者であるBodo Möller、Thai Duong、Krzysztof Kotowiczの3氏が、SSLプロトコルのバージョン3.0に存在する甚大な影響を及ぼすセキュリティ脆弱性について報告しました。CVE-2014-3566として登録されているこの脆弱性は、「Padding Oracle On Downgraded Legacy Encryption」、略して「POODLE」と呼ばれており、深刻度は中程度であるとされています。同脆弱性が見つかったのは15年ほど前の古いバージョンのSSLですが、このバージョンは現在でも広く使用されており、ほとんどの現行Webブラウザでサポートされています。このため、非常に多くの個人や組織に影響するおそれがあります。

Transport Layer Security(TLS)、そしてその前身であるSSL 3.0は、ユーザのWebブラウザと接続先Webサーバ間でやり取りされるデータを暗号化し、ユーザの通信を保護するために広く使用されている通信プロトコルです。WebブラウザとWebサーバ間で、TLSの最新バージョンを使用したセキュアな接続をネゴシエーションできない場合、SSL 3.0など古いバージョンのSSLを使用して接続が確立されます。今回見つかった脆弱性が悪用されるのは、このようなシチュエーションです。攻撃者は、同脆弱性を悪用することにより、セッションで使用されているHTTP cookieなどの暗号化情報にアクセスすることができます。

この脆弱性は、ShellshockやHeartbleedほど深刻な欠陥ではありません。しかし、銀行の口座情報やログイン情報、電子メールなどの重要情報を攻撃者に盗み取られるおそれがあることから、脆弱性がある場合には対策を講じる必要があります。

推奨される対策:組織を保護するために

チェック・ポイント製品をご利用の場合
  1. チェック・ポイント製品自体は、「POODLE」の脆弱性(CVE-2014-3566)の影響を受けません。詳細についてはチェック・ポイントのセキュア・ナレッジ(SecureKnowledge)「sk102989 - Check Point response to the POODLE Bites vulnerability (CVE-2014-3566)」をご覧ください。
  2. SSL 3.0の使用を検出またはブロックするには、IPS保護機能のCPAI-2014-1909を適用します。
  3. SSL 3.0を使用するWebブラウザからの影響を防止するために、マルチ・ポータル、HTTPS Inspection機能およびチェック・ポイントのOSについて、sk102989の手順に従い設定します。
他社製品をご利用の場合
  1. Active Directoryのグループ・ポリシー・オブジェクトを使用して、SSL 3.0の使用を無効にします。
  2. 該当するパッチが公開され次第、Webブラウザに適用します。
  3. クライアントおよびサーバでSSL 3.0を無効にします。
  4. Webブラウザがこの脆弱性の影響を受けるかどうかは、www.poodletest.comで確認できます。
  5. 特定のドメイン名がこの脆弱性の影響を受けるかどうかは、www.poodlescan.comで確認できます。

この脆弱性の詳細については、次のページをご覧ください。
http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
https://www.openssl.org/~bodo/ssl-poodle.pdf

チェック・ポイントの最新情報:
Twitter : www.twitter.com/checkpointjapan
Facebook : https://www.facebook.com/checkpointsoftware
YouTube : http://www.youtube.com/user/CPGlobal

Check Point Software Technologies Ltd.について

チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド(www.checkpoint.com)は、インターネット・セキュリティにおけるトップ企業として、セキュリティの複雑さと総所有コスト(TCO)を低減しつつ、あらゆるタイプの脅威からお客様のネットワーク環境を確実に保護するための妥協のないセキュリティ機能を実現しています。チェック・ポイントは、FireWall-1と特許技術のステートフル・インスペクションを開発した業界のパイオニアです。チェック・ポイントは、革新的セキュリティ技術であるSoftware Bladeアーキテクチャをベースとした一層の技術革新に努めています。Software Bladeアーキテクチャは、導入先に合わせカスタマイズすることで、あらゆる組織のセキュリティ・ニーズにも的確に対応できる、柔軟でシンプルなソリューションの構築を可能にします。チェック・ポイントは、技術偏重から脱却してセキュリティをビジネス・プロセスの一環として定義する唯一のベンダーです。チェック・ポイント独自のビジョン3D Securityは、ポリシー、ユーザ、実施という3つの要素を統合して情報資産の保護を強化し、導入環境のニーズに合わせて高度なセキュリティを確保できるようにします。チェック・ポイントは、Fortune 100社およびGlobal 100企業の全社を含む、何万ものあらゆる規模の企業や組織を顧客としています。数々の受賞歴のあるチェック・ポイントのZoneAlarmソリューションは、世界中で何百万にも及ぶお客様のPCをハッカー、スパイウェア、および情報窃盗から未然に保護しています。

チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、1997年10月1日設立、東京都新宿区に拠点を置いています。