2015年3月6日 |
お客様各位
日本ジオトラスト株式会社 |
FREAK攻撃に関するリスク軽減策のご案内 |
平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。
先日、暗号化プロトコル「SSL/TLS」の複数のライブラリに脆弱性が存在し、通信内容を盗聴したり改ざんする中間者攻撃「Factoring attack on RSA-EXPORT Keys(通称『FREAK』)」が可能となることがわかりました。
この攻撃はSSLサーバ証明書や証明書関製品に起因する脆弱性によって引き起こされるものではございませんが、リスク軽減策を下記の通りご案内させていただきます。
日本ジオトラストでは、引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。
記 |
1. 『FREAK』の概要この脆弱性を突いた攻撃では、攻撃者がクライアントとサーバの間に割り込み、暗号化された通信を盗み見ることが可能になります。 2. SSLサーバ証明書および証明書関連製品への影響この脆弱性はSSL/TLSプロトコルのライブラリに関する脆弱性で、既存のSSLサーバ証明書やコードサイニング証明書への影響はございません。 3. お客様のリスク軽減方法利用しているウェブサーバの種類(Apache、IIS、nginx等)に関わりなく、Export Cipherが使われている環境の脆弱性が指摘されているため、以下の「EXPで始まる」Export Cipher EXP-DES-CBC-SHA 同様に以下のNull Cipherは、暗号機能を提供しないため併せて無効にすることを推奨いたします。 NULL-SHA Windowsの場合、Export Cipherは「Export」という文字を含みます。 http://support.microsoft.com/kb/245030 の案内に基づいて以下のCipher Suiteを無効化してください。 SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
4.日本ジオトラストの対応日本ジオトラスト含めシマンテックグループでは、ストアフロントなど当社グループが運用するウェブサーバについては対処を全て完了しております。 |
|