セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしている SSL 3.0プロトコルに存在している脆弱性 (通称 POODLE) のウェブサイトでの安全な通信 HTTPS (HTTP over SSL) における対策として、2015 年 4 月 14 日 (米国時間) より Internet Explorer 11 でSSL 3.0 を既定で無効化します。
■ POODLE 脆弱性とは?
SSL 3.0 はトランスポート層での通信データのセキュリティを確保するためのアルゴリズムの一つです。SSL/TLS は、ウェブサイトでの安全な通信 HTTPS (HTTP over SSL) や、安全な LDAP 通信 LDAPS (LDAP over SSL) などに利用されています。
SSL/TLS では通信データは暗号化が行われますが、SSL 3.0 にて特定の暗号化方式 (CBC モード) を利用している場合、通信データの一部の内容を知り得ることができてしまう、という脆弱性が報告されました。この脆弱性は、通称で POODLE の脆弱性と呼ばれています。
この脆弱性は、特定の製品 (たとえば、Windows や Internet Explorer など) の実装に依存している問題ではなく、業界標準で利用されている SSL 3.0プロトコル自体に存在している問題です。このため、脆弱性の影響を回避し、安全にするためには、SSL 3.0 プロトコルを利用せず、他のより新しいプロトコルを利用する必要があります。より新しいアルゴリズムとして、TLS 1.0、TLS 1.1、TLS 1.2 があります。
マイクロソフト製品で、SSL 3.0 の脆弱性 (POODLE) の問題を回避するには、SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。手順の詳細は、[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2を参照してください。
■ 2015 年 4 月よりInternet Explorer 11 でSSL 3.0 を既定で無効化
上述のようにPOODLE 脆弱性の影響を回避し安全に利用するためには、SSL 3.0 を無効化する必要があります。ウェブサイトでの安全な通信 HTTPS (HTTP over SSL) において、SSL 3.0 を無効化にするために、マイクロソフトは、2015 年 4 月 14 日 (米国時間) に Internet Explorer 11 でSSL 3.0 を既定で無効化を行う措置を実施します。
<措置の対象ソフトウェア>
Internet Explorer 11
<措置実行後の影響>
2015 年 4 月 14 日 (米国時間) に Internet Explorer 11 で SSL 3.0 が無効化された後は、既定では、Internet Explorer 11 では SSL 3.0 を利用して、SSL サイトを閲覧することはできなくなります。(SSL 3.0 のみをサポートしているウェブサイトを利用することができなくなります)
なお、Internet Explorer 11 では、SSL サイトを閲覧するためのその他のプロトコル (TLS 1.0、TLS 1.1、および、TLS 1.2) をサポートしています。このため、これらを利用するSSL サイトは、引き続き利用することが可能です。
■ 4 月 14 日までにご確認ください
ウェブサイト、ウェブシステム、IT 管理者の方
ウェブサイトを提供しているウェブサーバー・システムにおいて、SSL 3.0 以外のプロトコル (TLS 1.0、TLS 1.1、あるいは、TLS 1.2) をサポートしているか、ご確認ください。
ユーザーの方
Fix It ツールを利用して、Internet Explorer にて SSL 3.0を無効化することができます。
サポート技術情報 3009008に記載されている Fix It ツールを実行してください。
■ これまでご案内した POODLE 対策まとめ
マイクロソフトでは、これまで、セキュリティ アドバイザリ 3009008 を通じて、POODLE 脆弱性の内容、回避策、対策方法を提供してきました。
日付 (米国時間) | 内容 |
2014 年 10 月 14日 | セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開し、脆弱性の内容および回避策を公開 |
2014 年 10 月 29 日 | 以下の対策予定を発表
|
2015 年 12月 1 日 | Azure および Office 365 にて、SSL 3.0 の無効化を開始
|
2014 年 12 月 9 日 | Internet Explorer 11 で POODLE 脆弱性を悪用する手法を防ぐために、 SSL 3.0 のフォールバック警告機能を公開
|
2015 年 2 月 10 日 | Internet Explorer 11 で SSL 3.0 のフォールバックを無効化する更新を自動更新にて配布
|
2015 年 4 月 14 日 (予定) | Internet Explorer 11 でSSL 3.0 を既定で無効化 (予定) ※ 今後予定が変更になる可能性はあります |
■ 関連ブログ エントリ
- Microsoft Azure Blog: Protecting against the SSL 3.0 vulnerability
- Microsoft Office Blog: Protecting you against the SSL 3.0 vulnerability