マイクロソフト セキュリティ アドバイザリ 3009008 について


こんにちは。日本マイクロソフト Internet Explorer サポート チームの片岡です。
本日は、2014 年 10 月 14 日 (米国時間) に公開いたしました以下のマイクロソフト セキュリティ アドバイザリ 3009008 に対する対応策として、IE の設定で SSL3.0 を無効化する方法について説明いたします。

マイクロソフト セキュリティ アドバイザリ 3009008
SSL 3.0 の脆弱性により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/library/security/3009008

この問題は、SSL 3.0 による暗号化通信を行った際に、SSL プロトコルの脆弱性が悪用され、暗号化された通信内容が漏えいする可能性があるというものです。SSL プロトコルに存在する脆弱性が原因であるため、Internet Explorer などの弊社製品に限らず、HTTPS 通信を行うすべてのアプリケーションに影響がございます。ただし、現在まだ本脆弱性を悪用した攻撃は確認されておりません。

SSL 3.0 は、OS/IE それぞれで無効化することができます。OS の設定を無効化しない場合でも、以下のいずれかの対処策によって IE は SSL 3.0 を利用しなくなります。一方、すべての SChannel を使用するアプリケーションにおいて SSL 3.0 を無効化したい場合は、IE ではなく OS の設定を変更する必要があります。

1. [インターネット オプション] で SSL 3.0 を無効化する
2. レジストリを登録して SSL 3.0 を無効化する
3. グループ ポリシーで SSL 3.0 を無効化する

以下に、IE で SSL 3.0 を無効化する方法について、詳細をご説明します。

1. [インターネット オプション] で SSL 3.0 を無効化する
[インターネット オプション] の [詳細設定] タブで、SSL 3.0 を無効化することができます。具体的には、以下の設定項目です。この設定は既定で有効ですが、無効とすることで SSL 3.0 が無効化され、脆弱性を回避することができます。

 

SSL3

 

2. レジストリを登録して SSL 3.0 を無効化する
上記の設定は、以下のレジストリを登録することでも設定が可能です。

————————–
キー:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
名前:SecureProtocols
種類:REG_DWORD
値:※1 (詳細は後述いたします)
————————–

※1 レジストリの値について
SSL 3.0 の他に、IE は複数の暗号化プロトコルに対応しています。各設定項目に割り振られた値 (16 進数) を足し合わせ、ご要望の設定を実現します。それぞれの設定に割り振られた値は以下の通りです。

SSL 2.0 を使用する:0x0008
SSL 3.0 を使用する:0x0020
TLS 1.0 を使用する:0x0080
TLS 1.1 を使用する:0x0200
TLS 1.2 を使用する:0x0800

例えば、以下のように設定したい場合は、レジストリ値を 0x0a80 (= 0x0080 + 0x0200 + 0x0800) とします。

有効:[TLS 1.0 を使用する]、[TLS 1.1 を使用する]、[TLS 1.2 を使用する]

無効:[SSL 2.0 を使用する]、[SSL 3.0 を使用する]

3. グループ ポリシーで SSL 3.0 を無効化する
グループ ポリシーでも、上記の設定項目を変更することができます。具体的には、以下のポリシー項目です。

[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Internet Explorer] – [インターネット コントロール パネル] – [[詳細設定] ページ] – [暗号化サポートを無効にする]

上記のポリシー項目を有効として、[安全なプロトコルの組み合わせ] で [TLS 1.0、TLS 1.1、および TLS 1.2 を使用] を選択することで、SSL 3.0 が無効となり、脆弱性を回避することができます。
なお、ポリシーで設定を変更した場合は [インターネット オプション] 上で設定項目がグレーアウトされるため、ユーザーが設定を変更できなくなります。

以上です。
アップデートなどがあれば随時本ブログに追記をしてきます。
どうぞよろしくお願いいたします。


Comments (2)

  1. Anonymous より:

    こんにちは。Internet Explorer サポートの太田です。
    この度 MS15-009「Internet Explorer 用のセキュリティ更新プログラム (3034682)」 を公開しました

  2. Anonymous より:

    こんにちは。Internet Explorer サポートの太田です。
    この度 MS15-009「Internet Explorer 用のセキュリティ更新プログラム (3034682)」 を公開しました

Skip to main content