Informationインフォメーション

SSL3.0 脆弱性注意喚起のお知らせ

2014.10.22

2014(平成26)年10月 吉日

株式会社イーネットソリューションズ

平素は格別のお引き立てを賜り、誠にありがとうございます。

2014年10月14日にSSLv3 プロトコルに暗号化データを解読される脆弱性『POODLE 攻撃:CVE-2014-3566』が公表されました。

HTTPSの通信においては、主要な通信として"SSL3.0"と"TLS"を利用する場合がございます。HTTPS(暗号化)の通信においてクライアント(PC、携帯端末等)が"SSL3.0"を利用している場合、悪意のある第三者により、暗号化されているHTTPSの通信の内容を解読される可能性がございます。
本脆弱性においては、SSL3.0が対象のためSSL3.0を無効とし、TLSのみ利用するように対策することを推奨されております。
(参考)
http://jvn.jp/vu/JVNVU98283300/

弊社にて『SSL証明書発行サービス』のご提供をさせて頂いておりますお客様へは、別途対応につき近日中にご案内をさせて頂きますので、詳しくはそちらでご確認頂けますようお願い申し上げます。

お客様ご自身にてSSL証明書を使用し、サイトの運用をされている場合、以下の脆弱性情報をご確認頂き十分な注意・ご検討をお願いたします。ご判断に際し、ご質問等がございましたらサポートセンターまでお問い合わせください。

※SSLを使用していない場合は、本脆弱性の影響は受けません。
※本脆弱性でサーバに対しての不正アクセス等は基本的にございません。

お客様の方で、本脆弱性に該当しているか不明な場合や脆弱性の内容につきご不明な点がある場合は、お気軽にサポートセンターまたは担当営業までご連絡ください。

本脆弱性の詳細につきましては下記の通りとなっております。

概要

HTTPS(暗号化)の通信においてクライアント(PC、携帯端末等)が"SSL3.0"を利用している場合、悪意のある第三者により、暗号化されているHTTPSの通信の内容を解読される可能性がございます。

対応策

サーバ側で"SSL3.0"を利用したHTTPSの通信要求を無効にすることを強くお勧めします。

【HTTPS通信の種類について】

HTTPSの通信において、主要な通信に"SSL3.0"と"TLS"がございます。 この度、"SSL3.0"に脆弱性が確認されたので、この通信を無効(拒否)とするようサーバ側で対策する方法となります。

・Apacheをご利用の場合
SSLProtocolディレクティブで、SSLv3を無効にします。
その後設定反映のためApacheを再起動してください。
 設定例)
   SSLProtocol All -SSLv2 -SSLv3

・IISをご利用の場合
レジストリキーを変更し、SSLv3を無効にします。
詳細な対応方法につきましては下記ページをご参照ください。
http://support2.microsoft.com/kb/187498/ja

対応策を実施した場合のリスク・影響につきまして

※一部のWEBブラウザ(PC、携帯端末含む)ではTLSをサポートしていないものがございます。

本脆弱性の対応策を実施した場合、TLSをサポートしていないWEBブラウザからはHTTPSサイトが閲覧不可となりますのでご注意ください。

本リスクにつきましてお客様にて十分に考慮・ご検討の上、対応是非をご判断ください。

【TLSサポート状況参考情報】

・主要なPCウェブブラウザ(IE,FireFox,Chrome,Opera,safari)の最新バージョンではTLS(1.0)は全てサポートされていますので本脆弱性の対策を実施してもサイトへの影響はございません。

旧バージョンでのTLS対応状況参考
http://wk.tk/ay8GaO

・携帯電話ブラウザに関しましては、現時点で本脆弱性に関するキャリアからの正式な対応状況の情報は確認できておりませんが、参考までに弊社にて確認している情報を以下に記載させて頂きます。

【対応した場合、閲覧ができなくなる可能性のある携帯】

docomo社2009年3月以前のimode携帯
https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html
au社のezweb携帯全般
http://www.au.kddi.com/ezfactory/web/pdf/contents_guide.pdf

<2014年10月21日 追加情報>

※au社のezweb携帯につきましては、2012年5月24日以降にケータイアップデートされていた場合にはTLS(1.0)対応しているとの情報がございますので、閲覧が可能となります。
ケータイアップデートの詳細情報につきましては下記URLをご参照ください。
http://www.au.kddi.com/information/notice_mobile/update/update-20120524-01.html

【影響が発生しない携帯】

SoftBank製品 全端末TLS対応
http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html

(※2014年10月16日確認時点)

弊社サービスへの影響について

弊社サービスで個別の影響があるものを下記でお知らせいたします。
関連情報としてご確認いただけますようよろしくお願いいたします。

merisis
http://www.enets.jp/announce/

Safetylink24
http://www.safetylink24.jp/infomation/2014/1022.php

本リリースに関するお問い合わせ
本件につきご不明な点などございましたら、サポートセンターまたは担当営業までご連絡ください。

イーネットソリューションズ サポートセンター
電話:0120-65-5058
pagetop

Contact

Copyright © 2010-2018 eNet Solutions Co.,Ltd. All rights reserved.
eNetSolutions