POODLE攻撃 【Padding Oracle On Downgraded Legacy Encryption】

SSLではデータ本体の暗号化にブロック暗号と呼ばれる方式を使い、平文を決まった長さのブロックごとに区切って暗号文に変換する。末尾のブロックが規定の長さに足りない場合は「パディング」と呼ばれるダミーデータを末尾まで付け足す処理が行われる。

SSL 3.0の仕様では、CBC（Cipher Block Chaining）という暗号モードを利用する場合のパディングのチェック処理に欠陥があり、攻撃者がパディング部分を任意の内容に置き換えたメッセージを繰り返しサーバに送らせることで、1/256の確率で平文の任意の一文字を復号できてしまう。試行を繰り返すことで、Cookieの値などHTTPメッセージに含まれる重要な情報が取得される危険がある。

攻撃の前提として、攻撃者は標的のWebブラウザとWebサーバの通信を傍受・改竄可能（中間者攻撃）で、マルウェアなどを用いてブラウザ側を遠隔操作し、何度も繰り返しサーバにリクエストを送信させることができる必要がある。

後継のTLS 1.0以降は仕様上のパディング検証の仕組みが改善されており、正しく実装されていればPOODLE攻撃は不可能になっているが、一部のソフトウェアの実装上の欠陥により、TLS 1.0～TLS 1.2でも同種の攻撃が可能な場合がある。

また、TLS非対応の古いブラウザなどのためにSSL 3.0での通信が可能な設定になっている場合、バージョンロールバック攻撃（ダウングレード攻撃）を併用して強制的にSSL 3.0による通信を強いられることがあるため、万全な対策を行うためにはSSL 3.0対応を完全に削除する必要がある。

関連用語

SSL

【Secure Sockets Layer】

TLS

【Transport Layer Security】

Webサーバ

【web server】

クライアント

【client】

サーバ

【server】

ダウンロード

【download】

プロトコル

【protocol】

暗号化

【encryption】

脆弱性

【vulnerability】

中間者攻撃

【MITM攻撃】

バージョン

【version】

ネットワーク

【network】

フォールバック

【fallback】

ブラウザ

【browser】

システム

【system】

ダウングレード

【downgrade】

レスポンス

【response】

セキュリティ

【security】

ブロック

【block】

パディング

【padding】