SSL3.0の脆弱性に関するリスク軽減策のご案内

お客様各位

2014年10月17日
日本ジオトラスト株式会社

2014年10月14日にGoogle社からSSLバージョン3.0(以下「SSL3.0」)に関する 深刻な脆弱性(CVE 2014-3566、通称『POODLE』)が報告されました。
報告によると、攻撃者がこの脆弱性を悪用し中間者攻撃(MITM)によって、エンドユーザのパスワードやクッキーにアクセスし、ブラウザとウェブサーバとの間でやりとりされるユーザーの個人情報や機密情報を盗聴、漏えいさせることが可能になります。
当脆弱性はSSLサーバ証明書やSSL関連製品に関する脆弱性ではございませんが、この脆弱性へのリスク軽減策を下記の通りご案内させて頂きます。

1.『POODLE』脆弱性の概要

『POODLE(Padding Oracle On Downgraded Legacy Encryption)』(以下、当脆弱性)はSSLバージョン3.0で、Cipher Block Chaining(CBC、暗号文ブロック連鎖モード)を利用している場合、中間者攻撃によってユーザーの個人情報や機密情報を盗聴、漏えいさせることが可能になる脆弱性です。TLSバージョン1.0以上をご利用されている場合は影響を受けません。

2. SSLサーバ証明書およびSSL関連製品への影響

この脆弱性はSSLプロトコルの脆弱性で、既存のSSLサーバ証明書やコードサイニング証明書への影響はございません。証明書の再発行やウェブサーバへの入れ替えは必要ございません。

3.お客様のリスク軽減方法 (対応順)

3-1. お客様のウェブサーバでSSLサーバ証明書をご利用中の場合は、以下のサイトで対象のウェブサーバのドメイン名(FQDN)を入力いただくことで、お客様のウェブサーバでSSL3.0プロトコルが有効となっているか否かを確認できます。

■シマンテック SSLツールボックス
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
※SSL3.0を利用している場合、「Your server may be vulnerable: SSLv3 is enabled」と表示されます。

SSL3.0をご利用の場合はSSL3.0あるいはSSL3.0 CBCモードを利用できなくする ことをリスク軽減方法としてご検討ください。

※SSL3.0を無効にした場合、一部の携帯電話や、Windows XP上のInternet Explorer6など、TLS1.0以降のプロトコルをサポートしていない(または有効化されていない)古いクライアント環境が接続できないなどの影響が出る可能性があります。

※3G携帯電話の多くが、SSL3.0までしかサポートしていないため、これらの携帯電話への影響を軽減したい場合は、CBCモードのみを無効化することで影響を排除することが可能です。

※以下のGoogleの発表もご参照ください。
http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html

4. ジオトラストの対応

シマンテックでは、ストアフロントなど当社グループが運用するウェブサーバについて 今週中に対処を完了させる見込みです。

6.本件に関するお問合せ先

日本ジオトラスト株式会社 カスタマーサポート
Email : support@geotrust.co.jp
電話 : 03-5114-4134(音声ガイダンス後、2番を選択してください)
(平日9時30分〜17時30分、ただし祝祭日および年末年始を除く)

以上