情報セキュリティ講座(112) SSL/TLSダウングレード攻撃
SSL/TLSの旧バージョン(3.0以前)は脆弱性があるため、そこを狙う攻撃が、SSL/TLSダウングレード攻撃です。TLSで接続する際は、お互いにプロトコルとバージョンを確認するので、低いバージョンで接続することも可能である点を突いたものです。
同じSSL3.0の脆弱性を突いた攻撃に、パディング攻撃もあります。ブロック暗号が使用されている際に、適当なデータ列を送信し、返ってくるエラーを解析して、暗号化される前の平文を推測するという攻撃です。
SSL/TSLは、WEBサービスにおいて無くてはならないプロトコルです。脆弱性を解決するためにバージョンアップが行われていますが、あえて古いバージョンを使うことで、脆弱性が露呈することがありますので、注意が必要です。