[POODLE 対策] 2015 年 4 月よりInternet Explorer 11 でSSL 3.0 を既定で無効化します


更新情報

2015 年 4 月 15 日:

Internet Explorer 11 では SSL 3.0が既定で無効にするセキュリティ更新プログラムを、セキュリティ情報 MS15-032「Internet Explorer 用の累積的なセキュリティ更新プログラム (3038314)」で配信開始しました。詳細についてはマイクロソフト セキュリティ アドバイザリ 3009008 を参照してください。

-------------------------------------------------------------------------------------------

セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしている SSL 3.0プロトコルに存在している脆弱性 (通称 POODLE) のウェブサイトでの安全な通信 HTTPS (HTTP over SSL) における対策として、2015 年 4 月 14 日 (米国時間) より Internet Explorer 11 でSSL 3.0 を既定で無効化します。

 ■ POODLE 脆弱性とは?

SSL 3.0 はトランスポート層での通信データのセキュリティを確保するためのアルゴリズムの一つです。SSL/TLS は、ウェブサイトでの安全な通信 HTTPS (HTTP over SSL) や、安全な LDAP 通信 LDAPS (LDAP over SSL) などに利用されています。

 

SSL/TLS では通信データは暗号化が行われますが、SSL 3.0 にて特定の暗号化方式 (CBC モード) を利用している場合、通信データの一部の内容を知り得ることができてしまう、という脆弱性が報告されました。この脆弱性は、通称で POODLE の脆弱性と呼ばれています。

 

この脆弱性は、特定の製品 (たとえば、Windows や Internet Explorer など) の実装に依存している問題ではなく、業界標準で利用されている SSL 3.0プロトコル自体に存在している問題です。このため、脆弱性の影響を回避し、安全にするためには、SSL 3.0 プロトコルを利用せず、他のより新しいプロトコルを利用する必要があります。より新しいアルゴリズムとして、TLS 1.0、TLS 1.1、TLS 1.2 があります。

 

マイクロソフト製品で、SSL 3.0 の脆弱性 (POODLE) の問題を回避するには、SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。手順の詳細は、[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2 を参照してください。

 

■ 2015 年 4 月よりInternet Explorer 11 でSSL 3.0 を既定で無効化

上述のようにPOODLE 脆弱性の影響を回避し安全に利用するためには、SSL 3.0 を無効化する必要があります。ウェブサイトでの安全な通信 HTTPS (HTTP over SSL) において、SSL 3.0 を無効化にするために、マイクロソフトは、2015 年 4 月 14 日 (米国時間) に Internet Explorer 11 でSSL 3.0 を既定で無効化を行う措置を実施します。

 

<措置の対象ソフトウェア>

Internet Explorer 11

 

<措置実行後の影響>

2015 年 4 月 14 日 (米国時間) に Internet Explorer 11 で SSL 3.0 が無効化された後は、既定では、Internet Explorer 11 では SSL 3.0 を利用して、SSL サイトを閲覧することはできなくなります。(SSL 3.0 のみをサポートしているウェブサイトを利用することができなくなります)

なお、Internet Explorer 11 では、SSL サイトを閲覧するためのその他のプロトコル (TLS 1.0、TLS 1.1、および、TLS 1.2) をサポートしています。このため、これらを利用するSSL サイトは、引き続き利用することが可能です。

 

 

■ 4 月 14 日までにご確認ください

  • ウェブサイト、ウェブシステム、IT 管理者の方

    ウェブサイトを提供しているウェブサーバー・システムにおいて、SSL 3.0 以外のプロトコル (TLS 1.0、TLS 1.1、あるいは、TLS 1.2) をサポートしているか、ご確認ください。

 

  • ユーザーの方

    Fix It ツールを利用して、Internet Explorer にて SSL 3.0を無効化することができます。

    サポート技術情報 3009008 に記載されている Fix It ツールを実行してください。

 

■ これまでご案内した POODLE 対策まとめ

マイクロソフトでは、これまで、セキュリティ アドバイザリ 3009008 を通じて、POODLE 脆弱性の内容、回避策、対策方法を提供してきました。 

日付 (米国時間)

内容

2014 年 10 月 14日

セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開し、脆弱性の内容および回避策を公開

2014 年 10 月 29 日

以下の対策予定を発表

  • 数か月以内の間に、Internet Explorer にて既定でSSL3.0を無効化する

  • 2014 年 12 月 1 日より、マイクロソフトのオンラインサービス Azure および Office 365 にて、SSL 3.0 を無効化する

  • Internet Explorer にて、SSL 3.0 を無効化するためのツール(Fix IT)を公開

2015 年 12月 1 日

Azure および Office 365 にて、SSL 3.0 の無効化を開始

 

2014 年 12 月 9 日

Internet Explorer 11 で POODLE 脆弱性を悪用する手法を防ぐために、 SSL 3.0 のフォールバック警告機能を公開

 

2015 年 2 月 10 日

Internet Explorer 11 で SSL 3.0 のフォールバックを無効化する更新を自動更新にて配布

 

2015 年 4 月 14 日

Internet Explorer 11 でSSL 3.0 を既定で無効化

  

■ 関連ブログ エントリ

更新履歴

2015/4/15: 「これまでご案内した POODLE 対策まとめ」の表を更新しました。セキュリティ更新プログラム 3038314 (マイクロソフト セキュリティ情報 MS15-032) のリリースにより、Internet Explorer 11 では SSL 3.0 が既定で無効になりました。

Skip to main content