マイクロソフトは30日、Internet Explorer(IE)の「SSL 3.0」を無効にする設定を自動的に行う、「Fix it」を公開した。
「SSL 3.0」は、暗号化通信に用いられる古い手順のひとつ。この「SSL 3.0」には、暗号を解読されるおそれのある問題があり、この問題が公になった今月15日頃から、関連企業や機関が注意を呼びかけ、ネットニュースでも盛んにとり上げられていた。プードル(POODLE:Padding Oracle On Downgraded Legacy Encryption)と呼ばれている問題がそれだ。
「SSL 3.0」は、現在はほとんど使用されないが、互換性のために今もなお広くサポートされており、通信の途中に割り込み、これを選択させて攻撃を行う。実際に攻撃を成功させるためには、高いハードルを超えなければならず、不特定の相手からは得られるものの少ない、割に合わない攻撃であり、一般の方がこの悪用攻撃を受け何らかの被害が発生する可能性は、ほとんどないと思われる。
攻撃は、Webサーバーなどのサーバー側と、ブラウザなどのクライアント側の双方が「SSL 3.0」に対応している場合にのみ成立する。したがって、どちらか一方が無効にしていれば、攻撃されることはない。
マイクロソフトが今回公開した「Fix it」は、IEの「SSL 3.0」を無効にする。Fix itを適用するには、下記「サポート技術情報 3009008」のページにある「Fix it」アイコンの左側、「Disable SSL 3.0 in Internet Explorer」側のアイコン(Microsoft Fix it 51024)をダウンロード/実行する。「Restore the original settings of SSL 3.0 in Internet Explorer」と書かれた右側のアイコン(Microsoft Fix it 51025)をダウンロード/実行すると、適用する前の元の状態に戻す。
(2014/10/31 ネットセキュリティニュース)
【関連情報】
・セキュリティアドバイザリ 3009008:SSL 3.0 の脆弱性により、情報漏えいが起こる(マイクロソフト)
https://technet.microsoft.com/ja-jp/library/security/3009008
・サポート技術情報 3009008(マイクロソフト)
https://support.microsoft.com/kb/3009008/ja
・SSL 3.0 の脆弱性対策について(CVE-2014-3566)(IPA)
http://www.ipa.go.jp/security/announce/20141017-ssl.html