2014年11月27日

Poodle対策はお済ですか?

10/15に大々的に報じられたSSL3.0の脆弱性問題。

これまでもブログでは、ブラウザごとの対策などについてご紹介していましたが、実際に一般ユーザーの皆さんのPCを確認してみると全く対策が施されていないケースがほとんどという現実....

ということで、再度取り上げてみることにしました。

1) SSL3.0が有効だとどうなるの?

"Poodle" なんてかわいい名前がついていますが決して、侮れない脆弱性で、ブラウザがオンラインバンキングなどユーザー名、パスワードなどを必要とするサイトにアクセスしてサインインする際、その情報を暗号化処理する仕組みがありますが、この仕組みに存在する脆弱性です。

今回この脆弱性が報告されたことで、いろいろなホームページで、サーバー側で問題になっているSSL3.0のサポートを停止し始めております。
例えばちょっと検索してみるだけでも、Amazon、Twitter、Facebook、楽天証券、葛飾区立図書館、サンルートホテルチェーンなどなど SSL3.0が有効だと表示されないページが増えています。

つまり、SSL3.0が有効になっていると、サーバー側で、サポートを停止したホームページなどに接続してもページが表示できません。実際にサインインしてみるとどうなるか?

20141127-1.jpg
WindowsVista/IE9 の例

アクセスしてみると分かりますが、"ページを表示できません" となってしまいます。

* ただし、サーバー側がサポートを終了しており、PC側が有効だったとして、PC側でTLS1.0以降も有効になっていれば表示は可能です。


2) 有効だと何がいけないのか?

具体的には経済産業省管轄下の、IPA(独立行政法人 情報処理推進機構)のHPにおいて、"更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566)" というところで、説明されておりますので、ご参照ください。
本来暗号化されて送信されている情報が、漏洩してしまう可能性があります。


3) 自分のPCはどうなのか?

さてそこでまず現在自分のPCがどうなっているのか?
以下のサイトにアクセスして確認することができます。

http://www.poodletest.com

20141127-2.jpg20141127-3.jpg

上記サイトにアクセスした結果、左のプードルイラストが出てきた場合には非対応。右のワンちゃんの画像が出てきた場合には対応済み。一番わかりやすいかもしれません。

https://www.ssllabs.com/ssltest/viewMyClient.html

20141127-4.jpg

こちらは、Protocolsのところで、Yes/No で表示されます。


4) どう対策をしたらいいのか?

基本的にはブラウザ毎に対策をする必要があります。またブラウザだけではなくJavaなど一部のものについては、個別に対策が必要です。

Internet Explorer:

Fix It の提供がされていますが、基本的には、IEの設定を変更しているだけなので、
IEをリセットしたりするとまた元に戻ってしまいますので注意が必要です。

Fix Itを利用しなくても、ブラウザを起動して、
ツール>インターネットオプション>詳細設定
と開いて、"セキュリティ" のところの項目を確認するだけなので、こちらの方が簡単だと思います。
もちろんこの場合も、IEをリセットすれば元に戻ってしまいます。

さらにFix Itを導入してもWindows自体の設定が変わるわけではないので、他のブラウザやSSL3.0で通信をするソフトについては個別に対応する必要が出てきます。

マイクロソフト セキュリティ アドバイザリ: SSL 3.0 の脆弱性により、情報漏えいが起こる (2014 年 10 月 15 日)


Google Chrome:
ITmediaのニュースによれば、完全対応は、Ver.40からのようです。
古いものをご利用の場合には少なくとも現在配布されているVer.39以降のものをご使用いただく必要はあります。
そうでない場合には以前にご紹介したように、ショートカットのプロパティを開いてリンク先のアドレスのところに、"-ssl-version-min=tls1" の設定をして利用する必要があります。Chromeの場合、他のソフトと異なり、各種設定画面からでは、この設定は変更できません。

Google Chromeで、SSL3.0を解除する

Fire Fox:
FireFoxの場合も、ITmediaのニュースによれば、Ver.34から完全に対応するようです。
それ以前のものについては、Config画面を開いて設定していきます。

FireFoxでSSL3.0を解除する


5) Windows上で動くソフトのすべてのSSL3.0を無効にする

考えてみれば、個別に対応するよりもこれが一番確実といえば確実な方法ですね。ただしレジストリを調整する必要があります。

"[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2/日本のセキュリティチーム" のHPでも紹介されております。

HKey_Local_Machine>System>CurrentControlSet>Control>
SecurityProviders>SCHANNEL>Protocols>SSL 3.0>Client

というキーを追加してしまうもの。

SSL3.0を無効にする Windows編

上記でご紹介させていただきました。

さらに "マイクロソフト セキュリティ アドバイザリ 3009008/セキュリティTechCenter" でもありますが、グループポリシーを利用することも可能です。

どんどんSSL3.0を無効にしているサイトが増えているのは事実ですが、対応していないサイトも中にはあるかもしれません。
どうしてもそうしたサイトを利用しないといけない場合には、レジストリ上で変更してしまうと、一時的に利用するために、再度設定を変更するとなると、ちょっと面倒かもしれません。

ただし逆にそうしたサイトは危険でもあるし、運営者側のセキュリティに対する認識に対して非常に疑問視されるものでもあるので、利用は避けた方がいいかもしれませんけどね。あるいは、サイト管理者に対応を促してみた方がいいかもしれません。

当然ですが、今回の脆弱性。Windowsはもちろん、Macでも、またPC以外のものにもかかわっています。

チケット販売サイトのイープラスでは、スマートフォンや、携帯などについても注意を促しています。
SSL 3.0無効化対応による、ブラウザ設定確認のお願い/イープラス

SSL3.0の脆弱性問題に対するフィーチャーフォンの対応状況

ということで、もう一度取り上げてみました。


<参照>
マイクロソフト セキュリティ アドバイザリ 3009008
[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2/日本のセキュリティチーム
更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566)
Google、SSL 3.0の脆弱性「POODLE」を公表、SSL 3.0は今後サポート廃止の意向/INTERNET Watch
SSL 3.0の脆弱性「POODLE」について知っておくべきこと/ZDNetJapan
Google、「Chrome 40」でSSL 3.0を完全無効化へ/ITmedia
posted by クリック at 13:09| 東京 ☁| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック