記

1. 『FREAK』の概要

この脆弱性を突いた攻撃では、攻撃者がクライアントとサーバの間に割り込み、暗号化された通信を盗み見ることが可能になります。
この脆弱性はOpenSSLなどのクライアントソフトウェアの脆弱性並びにウェブサーバの暗号強度の弱いCipher Suiteの設定に起因するものです。

2. SSLサーバ証明書および証明書関連製品への影響

この脆弱性はSSL/TLSプロトコルのライブラリに関する脆弱性で、既存のSSLサーバ証明書やコードサイニング証明書への影響はございません。
証明書の再発行やウェブサーバへの入れ替え作業は必要ございません。

3. お客様のリスク軽減方法

利用しているウェブサーバの種類（Apache、IIS、nginx等）に関わりなく、Export Cipherが使われている環境の脆弱性が指摘されているため、以下の「EXPで始まる」Export Cipher
が使われている場合は、ウェブサーバ側で無効化する設定を行い、ウェブサーバを再起動してください。

EXP-DES-CBC-SHA
EXP-RC2-CBC-MD5
EXP-RC4-MD5
EXP-EDH-RSA-DES-CBC-SHA
EXP-EDH-DSS-DES-CBC-SHA
EXP-ADH-DES-CBC-SHA
EXP-ADH-RC4-MD5

同様に以下のNull Cipherは、暗号機能を提供しないため併せて無効にすることを推奨いたします。

NULL-SHA
NULL-MD5

Windowsの場合、Export Cipherは「Export」という文字を含みます。

http://support.microsoft.com/kb/245030　の案内に基づいて以下のCipher Suiteを無効化してください。

SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SSL_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_EXPORT_WITH_RC4_40_MD5
NULL

※設定方法に関するご不明点は、確実な情報を得ていただくため、ご利用のウェブサーバのベンダに直接ご確認ください。
※ジオトラストのSSL Toolboxを使うと、対象のウェブサーバがFREAKの脆弱性を持っているか確認いただけます。
　https://ssltools.geotrust.com/checker/views/certCheck.jsp　
※OpenSSLのFREAKに関する脆弱性情報（英語）
　http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204
※弊社ブログでも詳細を説明しております（提供：米国シマンテック　英語）
　http://www.symantec.com/connect/blogs/freak-vulnerability-what-you-need-know
 

4．日本ジオトラストの対応

日本ジオトラスト含めシマンテックグループでは、ストアフロントなど当社グループが運用するウェブサーバについては対処を全て完了しております。
なお、シマンテック クラウド型WAFご利用のお客様は、WAFが攻撃を受けるCipher Suiteを無効にしているため、攻撃の影響を受けません。
 

以上