SSL 3.0の脆弱性について

概要

暗号化通信で利用されるSSL 3.0に脆弱性(CVE-2014-3566)が発見されました。

サーバとクライアントの通信経路を不正に中継された上で、攻撃者が大量に攻撃通信を発生させた場合、暗号通信の一部を解読される恐れがあります。

この脆弱性は、POODLE（Padding Oracle On Downgraded Legacy Encryption）と呼ばれています。

この脆弱性に伴い、SSL 3.0を無効化し、TLSに移行することが推奨されています。

対応方法を以下に掲載致しますので、必要に応じて対応をお願い致します。

弊社機器の対応状況

NetStableにてSSL 3.0の通信開始を検出するシグネチャを作成致しました。
また、2014年10月28日(火)に自動更新を実施致しました。

このシグネチャにより、以下の通信を検出することができます。

• SSL 3.0による暗号化通信の開始パケット

同一のアドレスにて短時間に数百回以上の検出があった場合、この脆弱性の影響を受けている可能性があります。

インターネットに接続できない環境にてご利用のお客様は、以下の作業手順とシグネチャファイルを参照して頂き、手動にて適用していただきますようお願い致します。

シグネチャ更新ファイル ダウンロードページ

サーバ管理者の対応

サーバ管理者の方は、管理するサーバ上において、以下の対応を行ってください。

Windowsサーバへの対応

• マイクロソフトが公開している情報に基づき、SSL 3.0を無効化する

SSL 3.0 の脆弱性により、情報漏えいが起こる：マイクロソフト セキュリティ アドバイザリ 3009008
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

Linuxサーバへの対応

• 各Linuxディストリビューションの配布元の情報に基づき、SSL 3.0を無効化する

Red Hatの場合：httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566) – Red Hat Customer Portal
https://access.redhat.com/ja/solutions/1232613

※SSL 3.0を無効化した場合、一部の旧OSとブラウザの環境や、一部携帯電話からのアクセスができなくなることが報告されています。
例：Windows XPとInternet Explorer 6の環境では、標準設定がSSL3のみを使用する設定であるため、TLSのみを使用するサイトへアクセスができない場合があります。

一般ユーザの対応

一般ユーザ、利用者の方は、ご利用のブラウザのSSL 3.0機能を無効にし、TLS機能を有効にすることが推奨されています。
※SSL 3.0を無効化した場合、TLSに対応していないサイトへのアクセスができなくなります。

設定変更の詳細については、以下の情報処理推進機構(IPA)のページ等を参考にしてください。
SSL 3.0 の脆弱性対策について(CVE-2014-3566)：IPA 独立行政法人 情報処理推進機構
http://www.ipa.go.jp/security/announce/20141017-ssl.html