質問

Alert ID : ALERT969

SSL3.0の脆弱性に関するリスク軽減策のご案内

Description

 

 

2014年10月17日

 

お客様各位

 

合同会社シマンテック・ウェブサイトセキュリティ

              

SSL3.0の脆弱性に関するリスク軽減策のご案内

 

平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

 

20141014日にGoogle社からSSLバージョン3.0(以下「SSL3.0」)に関する深刻な脆弱性(CVE 2014-3566、通称『POODLE』)が報告されました。

報告によると、攻撃者がこの脆弱性を悪用し中間者攻撃(MITM)によって、エンドユーザのパスワードやクッキーにアクセスし、ブラウザとウェブサーバとの間でやりとりされるユーザーの個人情報や機密情報を盗聴、漏えいさせることが可能になります。

当脆弱性はSSLサーバ証明書やSSL関連製品に関する脆弱性ではございませんが、この脆弱性へのリスク軽減策を下記の通りご案内させて頂きます。

 シマンテックでは、引続きサービス改善に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。

 

 



 

 

1.POODLE』脆弱性の概要

POODLEPadding Oracle On Downgraded Legacy Encryption)』(以下、当脆弱性)SSLバージョン3.0で、Cipher Block ChainingCBC、暗号文ブロック連鎖モード)を利用している場合、中間者攻撃によってユーザーの個人情報や機密情報を盗聴、漏えいさせることが可能になる脆弱性です。TLSバージョン1.0以上をご利用されている場合は影響を受けません。

 

2. SSLサーバ証明書およびSSL関連製品への影響

この脆弱性はSSLプロトコルの脆弱性で、既存のSSLサーバ証明書やコードサイニング証明書への影響はございません。証明書の再発行やウェブサーバへの入れ替えは必要ございません。

 

3.お客様のリスク軽減方法 (対応順)

3-1. お客様のウェブサーバでSSLサーバ証明書をご利用中の場合は、以下のサイトで対象のウェブサーバのドメイン名(FQDN)を入力いただくことで、お客様のウェブサーバでSSL3.0プロトコルが有効となっているか否かを確認できます。

  シマンテック SSLツールボックス
 https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

 ※SSL3.0を利用している場合、「Your server may be vulnerable: SSLv3 is enabled」と表示されます。

 

3-2SSL3.0をご利用の場合はSSL3.0あるいはSSL3.0 CBCモードを利用できないよう設定変更することをリスク軽減方法としてご検討ください。

<サーバ側での対応>

・WindowsにおけるSSL3.0の無効化
 MicrosoftからWindowsでSSL3.0を無効化する方法が公開されています。
 以下のURLの「Disable SSL 3.0 in Windows」以降をご確認の上、実施してください。

 [日本語] マイクロソフト セキュリティ アドバイザリ 3009008
 https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

 [English] Microsoft Security Advisory 3009008
 https://technet.microsoft.com/en-us/library/security/3009008.aspx

・Apache HTTP ServerにおけるSSL3.0の無効化
 LedHatからApache HTTP ServerでSSL3.0を無効化する方法が公開されています。
 以下のURLに記載されている設定変更を実施してください。

 httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)
 https://access.redhat.com/ja/solutions/1232613

※SSL3.0を無効にした場合、一部の携帯電話や、Windows XP上のInternet Explorer6など、TLS1.0以降のプロトコルを
 サポートしていない(または有効化されていない)古いクライアント環境が接続できないなどの影響が出る可能性があります。

3G携帯電話の多くが、SSL3.0までしかサポートしていないため、これらの携帯電話への影響を軽減したい場合は、
 CBCモードのみを無効化することで影響を排除することが可能です。
 設定方法はご利用の機器やアプリケーションのベンダへご確認ください。

 

<クライアント側での対応>

各ブラウザベンダが提供する対策情報を参照し、SSL3.0を無効化してください。

・Internet Explorer
 以下のURLに記載されている設定変更を実施してください。

 [日本語] マイクロソフト セキュリティ アドバイザリ 3009008
 https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

 [English] Microsoft Security Advisory 3009008
 https://technet.microsoft.com/en-us/library/security/3009008.aspx

・Firefox
 Firefox は、次期バージョンからデフォルトでSSL 3.0を無効化することをすでに発表しています。
 リリース後、すみやかにバージョンアップしてください。

 [English] Mozilla Security Blog(English)
 https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

・Google Chrome
  SSL 3.0 を無効化する方法は公開されていませんが、数ヵ月後にはSSL 3.0のサポートを完全に打ち切る予定であることがすでに発表されています。

 This POODLE bites: exploiting the SSL 3.0 fallback
 http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html

 

また、本脆弱性に対するサーバ管理者およびサイトユーザ向け対策に関しましては、IPA(情報処理推進機構)も情報をまとめて提供しています。

 SSL 3.0 の脆弱性対策について(CVE-2014-3566)
 http://www.ipa.go.jp/security/announce/20141017-ssl.html

※設定方法に関するご不明点は、確実な情報を得ていただくため、ご利用の機器やアプリケーションのベンダに直接ご確認ください。

 

 4. シマンテックの対応

シマンテックでは、ストアフロントなど当社グループが運用するウェブサーバについて今週中に対処を完了させる見込みです。

⇒(2014年10月21日Update : 当社グループが運用するウェブサーバについて、すべて対応を完了しています。)

 

5.本件に関するお問合せ先

   合同会社シマンテック・ウェブサイトセキュリティ カスタマーサポート

   Email server_info_jp@symantec.com

   電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)

   (平日930分~1730分)


以上

 


以上