フリーツール/シェアウェア

2014年10月17日 at 4:06 AM

SSL脆弱性プードル(POODLE)の対策方法は?|Webサイトの通信を傍受してパスワードや銀行決済情報を盗める脆弱性

2014/10/15 ITmedia SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明

 

 米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。

 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。

 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、 HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。

 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。

 Googleはシステム管理者はWebサイトのSSLのバージョンの更新を強く勧めている。

 また、WebブラウザによるSSL 3.0のサポートを無効にするメカニズム「TLS_FALLBACK_SCSV」を公開し、同メカニズムの採用を呼び掛けた。GoogleのWebブラウザChromeおよび同社のサーバは既にこのメカニズムを2月から採用しており、互換性の問題もなく使えているとしている。

 同日、Mozillaは11月25日にリリース予定のFirefox 34でSSL 3.0のサポートを無効にすると発表した。Mozillaとミシガン大学の共同調査によると、Alexaの上位100万ドメインでSSL 3.0に依存しているのは0.42%に上るという。

—-

オープンソースはセキュリティーが高いとは言えない

 

通信の暗号化を行う技術(SSL)のバージョンが古いために、簡単にその暗号を複合化して通信を傍受できてしまいますよというものです。

問題となっている暗号化規格(SSL3.0)とは別の暗号化規格を用いれば解消します。それにはユーザー(クライアントパソコン)とサーバー(サービス提供者)双方で対応を行わないといけません。

 

 



◆脆弱性「プードル」の解決方法

 

●自分のパソコンのブラウザー安全性チェック

現在使用しているWebブラウザーが、脆弱な暗号化技術を使うような古いバージョンのものでないか?最新のものでも設定が適切かどうかチェックします。

 

 

以下のサイトにアクセスし、

POODLE Disabling SSL3.0 Support in Browsers

 

 

Warning! Your browser supports SSLv3. To disable SSLv3, follow the instructions below. 」と出たら、今回の脆弱性の危険性があると判断できます。

プードル

 

Good News! Your browser does not support SSLV3.」と出れば、とくだん対応することは何もありません。

 

 

●脆弱性を無効化する方法

使用しているWebブラウザーにおいて、SSL3.0を利用しない設定を行います。

なお、この設定を行うことで使えなくなるサービスが発生する可能性があります。例えばオンラインバンキングなど。

暗号化技術なので、クライアントパソコンだけでなくサーバー側の環境にも依存する問題です。

 

この場合はやむを得ないので、使えなくて困るサービスを利用するときだけ一時的に有効にします。

 

 

●IE

e-tax電子申告などでは、IEを主に使うと思うので、IEの設定についてまず触れて置きます。

IEのツールバーから「ツール」 – 「インターネットオプション」を選択し、「詳細」タブを選択して、「SSL3.0を使用します」のチェックを外します。

 

 

●Firefox

「ツール」→「オプション」→「詳細」→「暗号化」を選び、「SSL3.0を使用する」のチェックを外します

 

この設定がないバージョンの場合は、以下2つの方法のうちからいずれかを選択します。

 

①URL入力欄に、「about:config」と入力し、表示された設定項目から「security.tls.version.min」を“0”から“1”へ変更する。

②拡張機能アドオン「SSL Version Control」を導入する

 

 

・Chrome

デスクトップ上にあるChromeの起動アイコンを編集する方法です。

 

①デスクトップにある「Google Chrome」のショートカットを右クリックし、「プロパティ」メニューを選択します。 (ショートカットが無い場合は作成します)
②「リンク先」欄の”…chrome.exe”の後ろに「 —ssl-version-min=tls1」を追加し、「OK」ボタンで画面を閉じます。
 ③設定を行ったショートカットからChromeを起動するようにします。

 

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>



こちらの関連記事もオススメ!