これまでもブログでは、ブラウザごとの対策などについてご紹介していましたが、実際に一般ユーザーの皆さんのPCを確認してみると全く対策が施されていないケースがほとんどという現実....
ということで、再度取り上げてみることにしました。
1) SSL3.0が有効だとどうなるの?
"Poodle" なんてかわいい名前がついていますが決して、侮れない脆弱性で、ブラウザがオンラインバンキングなどユーザー名、パスワードなどを必要とするサイトにアクセスしてサインインする際、その情報を暗号化処理する仕組みがありますが、この仕組みに存在する脆弱性です。
今回この脆弱性が報告されたことで、いろいろなホームページで、サーバー側で問題になっているSSL3.0のサポートを停止し始めております。
例えばちょっと検索してみるだけでも、Amazon、Twitter、Facebook、楽天証券、葛飾区立図書館、サンルートホテルチェーンなどなど SSL3.0が有効だと表示されないページが増えています。
つまり、SSL3.0が有効になっていると、サーバー側で、サポートを停止したホームページなどに接続してもページが表示できません。実際にサインインしてみるとどうなるか?
WindowsVista/IE9 の例
アクセスしてみると分かりますが、"ページを表示できません" となってしまいます。
* ただし、サーバー側がサポートを終了しており、PC側が有効だったとして、PC側でTLS1.0以降も有効になっていれば表示は可能です。
2) 有効だと何がいけないのか?
具体的には経済産業省管轄下の、IPA(独立行政法人 情報処理推進機構)のHPにおいて、"更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566)" というところで、説明されておりますので、ご参照ください。
本来暗号化されて送信されている情報が、漏洩してしまう可能性があります。
3) 自分のPCはどうなのか?
さてそこでまず現在自分のPCがどうなっているのか?
以下のサイトにアクセスして確認することができます。
・http://www.poodletest.com
上記サイトにアクセスした結果、左のプードルイラストが出てきた場合には非対応。右のワンちゃんの画像が出てきた場合には対応済み。一番わかりやすいかもしれません。
・https://www.ssllabs.com/ssltest/viewMyClient.html
こちらは、Protocolsのところで、Yes/No で表示されます。
4) どう対策をしたらいいのか?
基本的にはブラウザ毎に対策をする必要があります。またブラウザだけではなくJavaなど一部のものについては、個別に対策が必要です。
Internet Explorer:
Fix It の提供がされていますが、基本的には、IEの設定を変更しているだけなので、
IEをリセットしたりするとまた元に戻ってしまいますので注意が必要です。
Fix Itを利用しなくても、ブラウザを起動して、
ツール>インターネットオプション>詳細設定
と開いて、"セキュリティ" のところの項目を確認するだけなので、こちらの方が簡単だと思います。
もちろんこの場合も、IEをリセットすれば元に戻ってしまいます。
さらにFix Itを導入してもWindows自体の設定が変わるわけではないので、他のブラウザやSSL3.0で通信をするソフトについては個別に対応する必要が出てきます。
・マイクロソフト セキュリティ アドバイザリ: SSL 3.0 の脆弱性により、情報漏えいが起こる (2014 年 10 月 15 日)
Google Chrome:
ITmediaのニュースによれば、完全対応は、Ver.40からのようです。
古いものをご利用の場合には少なくとも現在配布されているVer.39以降のものをご使用いただく必要はあります。
そうでない場合には以前にご紹介したように、ショートカットのプロパティを開いてリンク先のアドレスのところに、"-ssl-version-min=tls1" の設定をして利用する必要があります。Chromeの場合、他のソフトと異なり、各種設定画面からでは、この設定は変更できません。
・Google Chromeで、SSL3.0を解除する
Fire Fox:
FireFoxの場合も、ITmediaのニュースによれば、Ver.34から完全に対応するようです。
それ以前のものについては、Config画面を開いて設定していきます。
・FireFoxでSSL3.0を解除する
5) Windows上で動くソフトのすべてのSSL3.0を無効にする
考えてみれば、個別に対応するよりもこれが一番確実といえば確実な方法ですね。ただしレジストリを調整する必要があります。
"[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2/日本のセキュリティチーム" のHPでも紹介されております。
HKey_Local_Machine>System>CurrentControlSet>Control>
SecurityProviders>SCHANNEL>Protocols>SSL 3.0>Client
というキーを追加してしまうもの。
・SSL3.0を無効にする Windows編
上記でご紹介させていただきました。
さらに "マイクロソフト セキュリティ アドバイザリ 3009008/セキュリティTechCenter" でもありますが、グループポリシーを利用することも可能です。
どんどんSSL3.0を無効にしているサイトが増えているのは事実ですが、対応していないサイトも中にはあるかもしれません。
どうしてもそうしたサイトを利用しないといけない場合には、レジストリ上で変更してしまうと、一時的に利用するために、再度設定を変更するとなると、ちょっと面倒かもしれません。
ただし逆にそうしたサイトは危険でもあるし、運営者側のセキュリティに対する認識に対して非常に疑問視されるものでもあるので、利用は避けた方がいいかもしれませんけどね。あるいは、サイト管理者に対応を促してみた方がいいかもしれません。
当然ですが、今回の脆弱性。Windowsはもちろん、Macでも、またPC以外のものにもかかわっています。
チケット販売サイトのイープラスでは、スマートフォンや、携帯などについても注意を促しています。
・SSL 3.0無効化対応による、ブラウザ設定確認のお願い/イープラス
・SSL3.0の脆弱性問題に対するフィーチャーフォンの対応状況
ということで、もう一度取り上げてみました。
<参照>
・マイクロソフト セキュリティ アドバイザリ 3009008
・[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2/日本のセキュリティチーム
・更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566)
・Google、SSL 3.0の脆弱性「POODLE」を公表、SSL 3.0は今後サポート廃止の意向/INTERNET Watch
・SSL 3.0の脆弱性「POODLE」について知っておくべきこと/ZDNetJapan
・Google、「Chrome 40」でSSL 3.0を完全無効化へ/ITmedia
【関連する記事】
- これまでの対処法では解決できない新手のサポート詐欺 Part 2
- これまでの対処法では解決できない新手のサポート詐欺
- Microsoft アカウントの乗っ取りにご注意ください
- "http://〜" が "https://〜" に自動的に書き換わってWebサ..
- "http://〜" が "https://〜" に自動的に書き換わってWebサ..
- PC Manager が Microsoft Store 版に
- サポート詐欺の画面は、画面が消えれば終わり... ではないので注意が必要です
- 無線LANルーターとセキュリティ
- セキュリティソフトのアンインストール
- ESET の影響で、Microsoft Edge がクラッシュする