セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開


本日、月例セキュリティ情報と併せて公開したセキュリティ アドバイザリ 2949927、および、2977292 に加え、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開しました。
※日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。

SSL 3.0 (CBCモード) を利用している場合、プロトコルに存在している脆弱性が悪用され、暗号化されている通信の内容が漏えいする可能性があります。この SSL 3.0 の脆弱性は、SSL 3.0 プロトコル自体に存在している業界全体で取り組むべき脆弱性であり、特定の製品の実装上の脆弱性ではありません。

マイクロソフトでは、現在、調査を行っており、調査が完了次第、マイクロソフトはお客様を保護するための適切な措置を講じる予定です。なお、この脆弱性を悪用するための新しい手法は、お客様にとって大きなリスクではないと考えられています。また、現時点では、悪用は確認されていません
詳細は、セキュリティ アドバイザリ 3009008 を参照してください。

 

■影響を受けるソフトウェア・環境

  • サポートされるすべてのバージョンの Windows

※CBC モードを利用する SSL 3.0 を利用している場合のみ影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

 

■ 回避方法
SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。

クライアント側: グループ ポリシー、あるいは、個別にSSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする。

詳細な設定方法等は、セキュリティ アドバイザリ 3009008IEサポートチームブログを参照してください。

セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われました。なお、この機能追加は、MS14-080 のセキュリティ更新プログラムに含まれていますが、既定の設定では、この機能は無効に設定されています。この機能の詳細は、サポート技術情報 3013210 を参照してください。

セキュリティ更新プログラム 3038314 (マイクロソフト セキュリティ情報 MS15-032) のリリースにより、Internet Explorer 11 では SSL 3.0 が既定で無効になりました。

サーバー側:レジストリにてSSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする。

詳細な設定方法は、サポート技術情報 187498 を参照してください。

■ 緩和策
脆弱性を悪用するためには、以下の要素が必要となります。この要素を回避するよう構成することで攻撃を緩和することができます。

  • 攻撃者は何百もの HTTPS リクエストを被害者へ送信し、攻撃を成功させる必要があります。
  • SSL 3.0 (CBC モード) を利用している場合に影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

■ 参考情報

———————————-

更新履歴

2014 年 10 月 15 日 15:25 セキュリティ アドバイザリ 3009008 の日本語ページを公開しました。

2014 年 10 月 16 日 15:30 回避策を追記しました。

2014 年 10 月 20 日 15:00 IE サポートチームブログを参考情報として追記しました。

2014 年 10 月 22 日 15:25 Microsoft Azure ブログを参考情報として追記しました。

2014 年 10 月 30 日 17:50 「[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2」を参考情報として追記しました。
2014 年 12 月 10 日 10:30 セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われたことを回避方法に追記しました。

2015 年 4 月 15 日: セキュリティ更新プログラム 3038314 (マイクロソフト セキュリティ情報 MS15-032) のリリースにより、Internet Explorer 11 では SSL 3.0 が既定で無効になったことをお知らせしました。

Skip to main content