情報セキュリティ講座(112)　SSL/TLSダウングレード攻撃

SSL/TLSの旧バージョン（3.0以前）は脆弱性があるため、そこを狙う攻撃が、SSL/TLSダウングレード攻撃です。TLSで接続する際は、お互いにプロトコルとバージョンを確認するので、低いバージョンで接続することも可能である点を突いたものです。

同じSSL3.0の脆弱性を突いた攻撃に、パディング攻撃もあります。ブロック暗号が使用されている際に、適当なデータ列を送信し、返ってくるエラーを解析して、暗号化される前の平文を推測するという攻撃です。

SSL/TSLは、WEBサービスにおいて無くてはならないプロトコルです。脆弱性を解決するためにバージョンアップが行われていますが、あえて古いバージョンを使うことで、脆弱性が露呈することがありますので、注意が必要です。