セキュリティ情報

【重要】SSL3.0脆弱性対策について

2014.12.01

●作業内容
 
 インターネット通信で使用されている暗号化方法である「SSL 3.0」において、
 脆弱性があることが報告されています。
 IPA(情報処理推進機構)による報告
 脆弱性対策の為、SSL3.0プロトコルを無効化いたします。
 
 
●適用開始日
 
 2014年12月4日(木)より適用開始
 
 
●本対策による影響範囲
 
・Webmail、UserTool、GUI、及びWebサイト
・メールソフトにおけるSSL(POP/IMAP/SMTP over SSL/STARTTLS)接続 
・APIを利用したSSL(HTTPS)接続
 
 
●上記影響範囲に対する対策方法
 
以下、お使いのブラウザにてSSL3.0を無効にして、TLS1.0、TLS1.1、
及びTLS1.2を有効にする方法につきましてご案内致します。
 
<Web ブラウザ>
 ■Internet Explorer
 Internet Explorerは、設定を変更することにより、SSL3.0を無効化することができます。
 マイクロソフト
 
  1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
  2. [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
  3. [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、
    [TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスを
    オンにします (使用可能な場合)。
  4. 注:連続するバージョンを確認するのが重要です。連続するバージョンを選択しないと
    (例: TLS 1.0 および TLS 1.2 を選択し、TLS 1.1 を選択しないなど)、
    接続エラーが起こる可能性があります。
  5. [OK] をクリックします。
  6. 終了し、Internet Explorer を再起動します。
  
  ※この回避策を適用した後、Internet Explorerは、3.0 までのSSLのみをサポートし、
   TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしないWebサーバーに接続できなくなります。 
 
ssl.jpg
クリックで拡大
 
 ■Firefox
 Firefox は、次期バージョンからデフォルトでSSL 3.0を無効化すると発表しています。
 Mozilla Security Blog(English)
 
 現行バージョンのFirefoxでSSL 3.0を無効化するアドオンが公開されています。
 Mozilla Japan
 
 
 ■Google Chrome
 現時点でGoogle社からはSSL 3.0を無効化する方法は公開されていませんが、
 数ヵ月後にはSSL 3.0のサポートを完全に打ち切る予定であると発表しています。
 This POODLE bites: exploiting the SSL 3.0 fallback(English)
 
 
<メールソフト>
 POP/IMAP/SMTP over SSL/STARTTLSに際しましては、TLS1.0対応のソフトウェアをご利用するか、
 設定にて有効にしてご利用いただけますようお願い致します。
 (設定方法につきましては、各ご利用のソフトウェアのヘルプ等をご確認してください)
 
 
 
ご不明な点はケーブルネット296までお問い合わせください。
問い合わせ電話番号 0120-533-296

PAGE TOP