Webサイトを閲覧したりメールを送受信したりする時、通信中の内容を他人に見られないようにするための暗号化方式「SSL3.0」に脆弱性(「POODLE」と命名されている)が見つかっています。
Webブラウザとメールソフトの暗号化方式を「TLS」に変更することで脆弱性を解消できます。
SSL3.0の脆弱性「POODLE」の対策方法概要
SSL3.0の脆弱性POODLEの対策として、各社順次対応を進めています。
対策方法概要は、暗号化方式を「TLS」というのに変更することです。
SSLとは何か?
SSLとは、インターネットの通信を暗号化する方式です。
Webサイトを閲覧したりメールを送受信したりする時、通信中に他人に情報を見られないようにするために利用しています。
今回見つかった「SSL3.0の脆弱性」では、こういった通信内容の一部が他人に見られてしまう可能性があります。
詳細は下記ページを参照ください。
SSL3.0の脆弱性「POODLE」は対策しなければいけないのか?
実際にどれくらいの確率で情報を盗まれるのか?盗まれて困る情報なのか?会社でならわかるけど個人でなら良いんじゃないか?と考えるでしょう。
対策しないからといって問題が起こる可能性は低いかもしれません。
しかしながら、Webサイトやメールサービスを提供している業者などがこのSSL3.0の利用をやめて、「TLS」という暗号化方式に順次移行し始めています。
ということで結局は対策をしなければなりません。
SSL3.0の脆弱性「POODLE」の対策はどのようにするのか?
一般的には下記のようなものがあると思います。
Webブラウザ
基本的にはWebブラウザの提供団体が順次対応した製品をリリース予定です。しばらく待てば、自動で対策できている状態になります。
注意点としては、Webサーバーが「TLS接続」に対応していることが必要となります。
これは自分ではどうしようもないため、自分が利用しているサイト(IDとパスワードでログインするようなサイト)がTLS接続に対応しているかを調べる必要があります。
各サイトのお知らせなどから探すか、検索エンジンで「サイト名 TLS」などと検索してみてください。
InternetExproler
ブラウザのバージョンアップによる対応状況
年内に対策版をリリース予定か?
- セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2:http://blogs.technet.com/b/jpsecurity/archive/2014/10/30/3009008-ssl3-rev.aspx
即時対応したい場合
下記ページの手順で、ツールを使って設定するか、手動で設定するかで対策します。
- セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2:http://blogs.technet.com/b/jpsecurity/archive/2014/10/30/3009008-ssl3-rev.aspx
手動の設定方法は下記手順となります。
(1)Internet Explorer の「インターネット オプション」を開く。
(2)詳細設定タブのセキュリティ内のSSLのチェックをすべてOFFにしTLSのチェックをすべてONにする。
これでSSL3.0脆弱性の対策が完了となります。
ただし、SSLでのみの接続を許可しているサイトでは上記設定を行うと接続エラーとなります。
どうしてもそのサイトを利用しなければならない場合は、上記、詳細設定タブのセキュリティ内の「SSL3.0を使用する」のチェックをONにしてください。
対策できているかを確認するにはInternet Explorerで下記サイトを開き、「Your user agent is not vulnerable.」と表示すれば大丈夫です。
- QUALYS SSL LABS:https://www.ssllabs.com/ssltest/viewMyClient.html
Google Chrome
ブラウザのバージョンアップによる対応状況
11/18リリースのChrome39で、一部を対策しています。
12/30ころリリース予定のChrome40で、対策を完了します。
現行版で対策済みと記載しているページもありますが、GoogleのサーバーとGoogle Chromeの間の話のようです。
即時対応したい場合
Google Chromeでは上記Internet Explorerのような設定項目がないため、起動オプションに「-ssl-version-min=tls1」を付ます。
具体的にWinodowsの場合は、ショートカットのプロパティのショートカットタブを開き、リンク先欄の末尾に「 -ssl-version-min=tls1」を追加します。
私の環境では、下記になります。
“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” -ssl-version-min=tls
対策できているかを確認するにはGoogle Chromeで下記サイトを開き、
「Your user agent is not vulnerable.」と表示すれば大丈夫です。
- QUALYS SSL LABS:https://www.ssllabs.com/ssltest/viewMyClient.html
Firefox
ブラウザのバージョンアップによる対策状況
11/25リリース予定のFirefox34でSSL3.0で、対策します。
即時対策したい場合
アドオンをインストールして対策する場合
SSL Version Control アドオンをインストールします。
- SSL Version Controlアドオン:https://addons.mozilla.org/ja/firefox/addon/ssl-version-control/
対策できているかを確認するにはFirefoxで下記サイトを開き、「Your user agent is not vulnerable.」と表示すれば大丈夫です。
- QUALYS SSL LABS:https://www.ssllabs.com/ssltest/viewMyClient.html
手動で対策する場合
URL欄に「about:config」を入力して開きます。
警告画面は「最新の注意を払って使用する」をクリックします。
一覧で「security.tls.version.min」をダブルクリックし、値に「1」を設定します。
設定が終わったらabout:configを閉じます。
security.tls.version.min は、使用するSSLの最低バージョンを指定する項目です。
この値を「1」にすることで、TLS 1.0 以降を利用することになりSSL 3.0 が無効になります。
対策できているかを確認するにはFirefoxで下記サイトを開き、「Your user agent is not vulnerable.」と表示すれば大丈夫です。
- QUALYS SSL LABS:https://www.ssllabs.com/ssltest/viewMyClient.html
Apple製品
iOS8.1のアップデートで、対策を完了しています。
ただし、旧機種はiOS8.1をインストールできないので対策できていません。
また、Google Chrome や Firefox を利用する場合は、上記設定が必要になります。
メールソフト
接続方式を「TLS」に変更する必要があります。
ただし、メールアドレスを提供している会社のホームページなどでTLS に対応しているか確認した方が良いでしょう。
Webサービス等
FacebookやTwitter、Google+などは自動で対策を取っています。
その際に繋がらないなどの障害が発生した可能性もあります。
アプリ等
対策版がリリースされるまで待つしかありません。
グッドテックでは、既存システムのセキュリティ強化についても、多数の実績があります。ご相談は無料で承っておりますので、お気軽にお問い合わせください。
コメント