[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2


本日、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしているSSL 3.0プロトコルに存在している脆弱性 (通称 POODLE) について、以下を追加でお知らせしました。

(1) SSL 3.0 を、Internet Explorer にて既定の構成で無効にし、オンラインサービス上で無効にする措置を、数か月の間に実施する予定です。

2014 年 12 月 1 日より、Azure および Office 365 にて、SSL 3.0 を無効化します。これにより、Azure および Office 365 を利用するクライアント端末およびブラウザーは、TLS1.0 以上を有効化し、接続を行う必要がります。現時点では、サービス側への接続分析より、SSL 3.0 を利用した接続は少数であることが判明しています。Azure および Office 365 をご利用のお客様は、2014 年 11 月 30 日までに、TLS 1.0 以上を有効化してください。

(2) セキュリティアドバイザリ 3009008 に記載のある回避策について、クライアントでの回避策とサーバーでの回避策を分かりやすくするよう記載変更しました。

(3) Internet Explorer での回避策 (SSL 3.0無効化) を実施するための Fix It ツールを公開しました。

 

脆弱性の詳細、および影響範囲については、先日のブログ「セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開」をご参照ください。

今回は、回避策について改めて、まとめてご案内します。

 

■対象となるソフトウェア・環境

脆弱性の影響を受ける環境は、以下の環境です。

    • サポートされるすべてのバージョンの Windows

※暗号スイートとして、CBC モードを利用する SSL 3.0 を利用している場合のみ影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

 

■回避策

SSL 通信を行うクライアントとサーバーのいずれか、または両方で、SSL 3.0 を利用しないように無効化します。

 

クライアント側

注: この回避策を適用した後、クライアントは、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしない Web サーバーに接続できなくなります。 

 

(方法 1) Internet Explorer のみで SSL 3.0 を無効化する

Internet Explorer 上で行う SSL 通信について、SSL 3.0 を無効化することができます。この方法を利用した場合は、Windows およびそのほかのアプリケーション・ソフトウェアで行っている SSL 通信においては、SSL 3.0 は無効化されません。脆弱性は SSL 3.0 プロトコル自体にあるため、Windows およびそのほかのアプリケーション・ソフトウェアで SSL 3.0 を利用している場合は、引き続き脆弱性の影響を受けます。

SSL 3.0 をまずは Internet Explorer 上のみで無効化を実施したい、という場合にはこちらの方法を実施してください。Internet Explorer 上で SSL 3.0 を無効にするためには、以下のいずれかの方法で実施できます。

[2015/4/15 追記] セキュリティ更新プログラム 3038314 (マイクロソフト セキュリティ情報 MS15-032) のリリースにより、Internet Explorer 11 では SSL 3.0 が既定で無効になりました。

(1) Fix it ツールを利用する

サポート技術情報 3009008 に記載されている Fix It ツールを実行してください。

(2) 手動で設定を変更する

Internet Explorer の [ツール] メニューの [インターネット オプション]のダイアログ ボックスの [詳細設定] タブにある [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。

詳細な設定方法等は、セキュリティ アドバイザリ 3009008IEサポートチームブログを参照してください。

(3) グループポリシーを利用して設定変更を行う

グループ ポリシーで [暗号化サポートを無効にする] グループ ポリシー オブジェクトを変更します。詳細な設定方法等は、セキュリティ アドバイザリ 3009008を参照してください。


セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われました。なお、この機能追加は、MS14-080 のセキュリティ更新プログラムに含まれていますが、既定の設定では、この機能は無効に設定されています。この機能の詳細は、サポート技術情報 3013210 を参照してください。 

 

(方法 2) Windows 上で SSL 3.0 を無効化する

Internet Explorer を含む Windows および Windows 上で動作するすべてのアプリケーションおよびソフトウェアにて行われる SSL 通信で、SSL 3.0 を無効にします。(*補足 1)

設定を行うには、以下のレジストリを設定します。詳細な設定方法等は、セキュリティ アドバイザリ 3009008を参照してください。

キー:HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client\Enabled

値: 0 (無効)

タイプ: DWORD (32 ビット)

 

(補足 1) 設定変更の影響を受けるソフトウェア・アプリケーションは、Windows 上の SSL/TLS の実装である Schannel を用いている場合に限ります。詳細は、「TLS/SSL (Schannel SSP) の概要」を参照してください。

 

サーバー側

注: この回避策を適用した後、サーバーは、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしないクライアントからの接続はできなくなります。

 

Windows Serverを利用している場合

キー:HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 3.0\Server\Enabled

値: 00000000 (無効)

タイプ: DWORD

詳細な設定方法は、セキュリティ アドバイザリ 3009008および、サポート技術情報 187498 を参照してください。

 

Azure を利用している場合

Microsoft Azure を利用している場合は、以下のガイダンスに従って設定を行ってください。

 

 

■ 関連ブログ エントリ

 


更新履歴

2014/12/10 10:30 セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われたことを回避策に追記しました。

2015/04/15: セキュリティ更新プログラム 3038314 (マイクロソフト セキュリティ情報 MS15-032) のリリースにより、Internet Explorer 11 では SSL 3.0 が既定で無効になったことをお知らせしました。