更新情報
2015 年 4 月 15 日:
Internet Explorer 11 では SSL 3.0 が既定で無効にするセキュリティ更新プログラムを、セキュリティ情報 MS15-032「Internet Explorer 用の累積的なセキュリティ更新プログラム (3038314)」で配信開始しました。詳細についてはマイクロソフト セキュリティ アドバイザリ 3009008 を参照してください。
-——————————————————————————————
セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしている SSL 3.0 プロトコルに存在している脆弱性 (通称 POODLE) のウェブサイトでの安全な通信 HTTPS (HTTP over SSL) における対策として、 2015 年 4 月 14 日 (米国時間) より Internet Explorer 11 で SSL 3.0 を既定で無効化します。
■ POODLE 脆弱性とは?
SSL 3.0 はトランスポート層での通信データのセキュリティを確保するためのアルゴリズムの一つです。SSL/TLS は、ウェブサイトでの安全な通信 HTTPS (HTTP over SSL) や、安全な LDAP 通信 LDAPS (LDAP over SSL) などに利用されています。
SSL/TLS では通信データは暗号化が行われますが、SSL 3.0 にて特定の暗号化方式 (CBC モード) を利用している場合、通信データの一部の内容を知り得ることができてしまう、という脆弱性が報告されました。この脆弱性は、通称で POODLE の脆弱性と呼ばれています。
この脆弱性は、特定の製品 (たとえば、Windows や Internet Explorer など) の実装に依存している問題ではなく、業界標準で利用されている SSL 3.0 プロトコル自体に存在している問題です。このため、脆弱性の影響を回避し、安全にするためには、SSL 3.0 プロトコルを利用せず、他のより新しいプロトコルを利用する必要があります。より新しいアルゴリズムとして、TLS 1.0、TLS 1.1、TLS 1.2 があります。
マイクロソフト製品で、SSL 3.0 の脆弱性 (POODLE) の問題を回避するには、SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。手順の詳細は、[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その 2 を参照してください。
■ 2015 年 4 月より Internet Explorer 11 で SSL 3.0 を既定で無効化
上述のように POODLE 脆弱性の影響を回避し安全に利用するためには、SSL 3.0 を無効化する必要があります。ウェブサイトでの安全な通信 HTTPS (HTTP over SSL) において、SSL 3.0 を無効化にするために、マイクロソフトは、2015 年 4 月 14 日 (米国時間) に Internet Explorer 11 で SSL 3.0 を既定で無効化を行う措置を実施します。
< 措置の対象ソフトウェア>
Internet Explorer 11
< 措置実行後の影響>
2015 年 4 月 14 日 (米国時間) に Internet Explorer 11 で SSL 3.0 が無効化された後は、既定では、Internet Explorer 11 では SSL 3.0 を利用して、SSL サイトを閲覧することはできなくなります。(SSL 3.0 のみをサポートしているウェブサイトを利用することができなくなります)
なお、Internet Explorer 11 では、SSL サイトを閲覧するためのその他のプロトコル (TLS 1.0、TLS 1.1、および、TLS 1.2) をサポートしています。このため、これらを利用する SSL サイトは、引き続き利用することが可能です。
■ 4 月 14 日までにご確認ください
-
ウェブサイト、ウェブシステム、IT 管理者の方 ウェブサイトを提供しているウェブサーバー・システムにおいて、SSL 3.0 以外のプロトコル (TLS 1.0、TLS 1.1、あるいは、TLS 1.2) をサポートしているか、ご確認ください。
-
ユーザーの方 Fix It ツールを利用して、Internet Explorer にて SSL 3.0 を無効化することができます。 サポート技術情報 3009008 に記載されている Fix It ツールを実行してください。
■ これまでご案内した POODLE 対策まとめ
マイクロソフトでは、これまで、セキュリティ アドバイザリ 3009008 を通じて、POODLE 脆弱性の内容、回避策、対策方法を提供してきました。
| 日付 (米国時間) | 内容 |
|---|---|
| 2014 年 10 月 14 日 | セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開し、脆弱性の内容および回避策を公開 |
| 2014 年 10 月 29 日 | 以下の対策予定を発表- 数か月以内の間に、Internet Explorer にて既定で SSL3.0 を無効化する- 2014 年 12 月 1 日より、マイクロソフトのオンラインサービス Azure および Office 365 にて、SSL 3.0 を無効化する- Internet Explorer にて、SSL 3.0 を無効化するためのツール(Fix IT)を公開 |
| 2015 年 12 月 1 日 | Azureおよび Office 365 にて、SSL 3.0 の無効化を開始 |
| 2014 年 12 月 9 日 | Internet Explorer 11 で POODLE 脆弱性を悪用する手法を防ぐために、 SSL 3.0 のフォールバック警告機能を公開 |
| 2015 年 2 月 10 日 | Internet Explorer 11 で SSL 3.0 のフォールバックを無効化する更新を自動更新にて配布 |
| 2015 年 4 月 14 日 | Internet Explorer 11 で SSL 3.0 を既定で無効化 |
■ 関連ブログ エントリ
-
[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その 2
-
Microsoft Azure Blog: Protecting against the SSL 3.0 vulnerability
-
Microsoft Office Blog: Protecting you against the SSL 3.0 vulnerability
更新履歴
2015/4/15: 「これまでご案内した POODLE 対策まとめ」の表を更新しました。セキュリティ更新プログラム 3038314 (マイクロソフト セキュリティ情報 MS15-032) のリリースにより、Internet Explorer 11 では SSL 3.0 が既定で無効になりました。