Skip to main content
MSRC

セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開

Japan Security Team
/ By Japan Security Team / / 8 min read

本日、月例セキュリティ情報と併せて公開したセキュリティ アドバイザリ 2949927、および、2977292 に加え、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開しました。
※日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。

SSL 3.0 (CBC モード) を利用している場合、プロトコルに存在している脆弱性が悪用され、暗号化されている通信の内容が漏えいする可能性があります。この SSL 3.0 の脆弱性は、SSL 3.0 プロトコル自体に存在している業界全体で取り組むべき脆弱性であり、特定の製品の実装上の脆弱性ではありません。

マイクロソフトでは、現在、調査を行っており、調査が完了次第、マイクロソフトはお客様を保護するための適切な措置を講じる予定です。なお、この脆弱性を悪用するための新しい手法は、お客様にとって大きなリスクではないと考えられています。また、 現時点では、悪用は確認されていません
詳細は、セキュリティ アドバイザリ 3009008 を参照してください。

■ 影響を受けるソフトウェア・環境

  • サポートされるすべてのバージョンの Windows

※CBC モードを利用する SSL 3.0 を利用している場合のみ影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

■ 回避方法 SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。

クライアント側 : グループ ポリシー、あるいは、個別に SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする。

詳細な設定方法等は、セキュリティ アドバイザリ 3009008IE サポートチームブログを参照してください。

セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われました。なお、この機能追加は、MS14-080 のセキュリティ更新プログラムに含まれていますが、既定の設定では、この機能は無効に設定されています。この機能の詳細は、サポート技術情報 3013210 を参照してください。

※セキュリティ更新プログラム 3038314 (マイクロソフト セキュリティ情報 MS15-032) のリリースにより、Internet Explorer 11 では SSL 3.0 が既定で無効になりました。

サーバー側 :レジストリにて SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする。

詳細な設定方法は、サポート技術情報 187498を参照してください。

■ 緩和策 脆弱性を悪用するためには、以下の要素が必要となります。この要素を回避するよう構成することで攻撃を緩和することができます。

  • 攻撃者は何百もの HTTPS リクエストを被害者へ送信し、攻撃を成功させる必要があります。
  • SSL 3.0 (CBC モード) を利用している場合に影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

■ 参考情報

-———————————

更新履歴

2014 年 10 月 15 日 15:25 セキュリティ アドバイザリ 3009008 の日本語ページを公開しました。

2014 年 10 月 16 日 15:30 回避策を追記しました。

2014 年 10 月 20 日 15:00 IE サポートチームブログを参考情報として追記しました。

2014 年 10 月 22 日 15:25 Microsoft Azure ブログを参考情報として追記しました。

2014 年 10 月 30 日 17:50 「[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その 2」を参考情報として追記しました。
2014 年 12 月 10 日 10:30 セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われたことを回避方法に追記しました。

2015 年 4 月 15 日: セキュリティ更新プログラム 3038314 (マイクロソフト セキュリティ情報 MS15-032) のリリースにより、Internet Explorer 11 では SSL 3.0 が既定で無効になったことをお知らせしました。

Next Post

Related Posts

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.