SSL3.0の脆弱性対策について

[2015.02.27]

2015.02.27更新。Internet Explorer情報の更新。
2014.12.02更新。Firefox情報の更新。
2015.01.22更新。GoogleChrome情報の更新。

セキュリティ
掲載日付:2014年11月10日

2014年10月14日に公開されたSSL 3.0に関する脆弱性について。

POODLE(Padding Oracle On Downgraded Legacy Encryption)と名づけられた当脆弱性を利用した攻撃では、SSL 3.0を有効にしているサーバとの通信においてパスワード等の重要情報やCookie情報が第三者に漏えいする可能性があります。

つきましては、以下を参考にPCのブラウザ設定の変更をお願いいたします。

※参考「SSL 3.0 の脆弱性対策について(CVE-2014-3566)(IPAより)」


Microsoft Internet Explorerの場合

2015.02.27更新
マイクロソフトは、2015 年 4 月 14 日 (米国時間) に Internet Explorer 11 でSSL 3.0 を既定で無効化を行う措置を実施します。
※[POODLE 対策] 2015 年 4 月よりInternet Explorer 11 でSSL 3.0 を既定で無効化します(technetサイトより)

1.「ツール」→「インターネット オプション」より「詳細設定」タブを開く。
2.「SSL 2.0を使用する」「SSL 3.0を使用する」のチェックを外す。

ie-ssl.png

Mozilla Firefoxの場合

2014.12.02更新
2014年12月1日に、最新バージョン「Firefox 34」がリリースされました。
このバージョンより「SSL 3.0」が無効化されています。
※Firefox Notes Version 34.0.5(mozillaサイトより)

現行バージョンの Firefox で SSL 3.0 を無効化するアドオン(SSL Version Control)が公開されています。
SSL 3.0 の POODLE 脆弱性への対応について(Mozilla Japan ブログより)

Google Chromeの場合

2015.01.22更新
2015年1月22日に、最新バージョン「Google Chrome 40」がリリースされました。
このバージョンより「SSL 3.0」が無効化されています。
※Chrome Releases: Stable Update(英文)

1. デスクトップ上の「Google Chrome」のショートカットを右クリックし、「プロパティ」メニューを選択。 (ショートカットが無い場合は作成してください)
2. 「リンク先」欄の"...chrome.exe"の後ろに「 --ssl-version-min=tls1」を追加し、「OK」ボタンで画面を閉じる。
("chrome.exe" と "--ssl-version-min=tls1" の間には、半角スペースを入れてください)
3. 設定を行ったショートカットからChromeを起動することでSSL3.0が無効になる。

※米Googleでは、12月下旬にリリースする予定の「Chrome 40」で、SSL 3.0を完全に無効にする計画の模様です。(こちら