Nginx」カテゴリーアーカイブ




SSL3.0の脆弱性「POODLE」の影響と各サービス・企業の対応のまとめ




投稿日:

■ 概要

10月14日、Googleが以下のニュースを発表しました。

SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
http://www.itmedia.co.jp/news/articles/1410/15/news054.html

Google の発表内容
http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html

 httpsのプロトコルであるSSL3.0に深刻な脆弱性が見つかりました。この脆弱性を利用することでパスワードやクッキー情報を盗む事が可能になります。このプロトコルは各ブラウザで利用されており、旧式のプロトコルながら、現在のプラウザの殆どは新式のプロトコルが利用出来ない場合はこのプロトコルを利用してhttps接続をするようになっています。そのため、この脆弱性の影響はかなり大きいと言えます。

 WEBサービスを運営の企業では、この脆弱性からユーザ情報を保護するための対応が必要となります。(下記リンクにもある情報処理推進機構によると対応を至急とはしていないものの、早急に対応はした方が良いと思われます。) また、ユーザ側でもこのSSL3.0のプトロコルを利用しないようにする設定をしておくべきです。これら対応は記事の最後に書いています。

 SSL3.0は、18年も前ネットスケープ社が開発したものになります。現在は、SSL系の後に新式のTLSが開発されているので、今回の件でSSL系からの完全移行が進みそうです。

SSL3.0他、httpsプロトコルについて↓

Transport Layer Security – Wikipedia
http://ja.wikipedia.org/wiki/Transport_Layer_Security#SSL_3.0


■ 企業の対応

この脆弱性に対して、Facebook、twitterがいち早く改修を実施して以降、各社サービスにてSSL3.0の廃止を進めています。10月24日現在、Google, facebook, twitter の他にも、ios8.1にてAppleも対応を実施。国内勢でもガンホーやYahoo!ウォレットなどが廃止を決定したとのニュースもありました。

AppleのiOS 8.1、SSL 3.0の脆弱性などを修正 – ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1410/21/news041.html

【重要】SSL3.0の脆弱性に対する対応について – お知らせ – Yahoo!ウォレット
http://notice.yahoo.co.jp/wallet/archives/ssl30.html

SSL3.0で確認された脆弱性に対する対応について – ガンホーゲームズ-無料で遊べるオンライン遊園地!
http://www.gungho.jp/index.php?module=Page&action=NoticeDetailPage&notice_id=4388

[重要] SSL 3.0脆弱性対応について | バイザー株式会社
http://www.visor.co.jp/press_release/1847/

SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA 独立行政法人 情報処理推進機構
http://www.ipa.go.jp/security/announce/20141017-ssl.html



日本の各銀行は、ユーザ側にSSL3.0の無効化を促して対応をしているようです。サービス側で新式プロトコルであるTLSに対応している為、通常利用している分にはSSL3.0は利用されないと見ての判断だと思われます。 そのため、万が一を考えるとユーザは自らを守る為に自分のPCやスマホで対応をした方が良いと思われます。

インターネット通信で使用する暗号化方式「SSL 3.0」の脆弱性について|スルガ銀行
http://www.surugabank.co.jp/surugabank/kojin/topics/141020.html

インターネット通信で使用する暗号化方式「SSL 3.0」の脆弱性について|千葉銀行
http://www.chibabank.co.jp/myaccess/info/info17.html



他にも身近になってきている AppleのiPhone・iPadアプリや、Androidアプリなどでも影響は出ています。

Apple、プッシュ通知サービスでのSSL 3.0サポートを10月29日に終了 POODLE対策で – ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1410/23/news074.html

各ブラウザの正式対応についても、こちらにてまとめます。
SSL3.0の脆弱性「POODLE」の自分のブラウザでの対応チェック と Internet Explorer にてSSL3.0の無効化設定を入れる手順 | 田舎に住みたいエンジニアの日記

■ 脆弱性への対応方法

対応方法はサーバ側とユーザ側に分かれます。WEBサイトを閲覧するにあたり、そのユーザのブラウザかWEBサイトのサーバのどちらか一方が対応していれば問題ありません。しかし、ユーザ側は多数のWEBサイトを閲覧することになるので脅威を減らす意味でもすぐに対応をした方が良いですし、サービス提供側も、不特定多数のユーザの不利益をもたらす可能性があるためサーバの対応を率先して対応すべきだと思います。

以下に、サーバ側の対応とユーザ側の対応方法・手順を調べてみましたので参照ください。(もちろん正式な情報も参考にしてください。各ページでリンク貼っています。)

・サーバ側の対応
SSL3.0の脆弱性「POODLE」のサーバ対策設定「Apache+mod_ssl」と「Nginx」での対策の場合 | 田舎に住みたいエンジニアの日記

・ユーザ側の対応
SSL3.0の脆弱性「POODLE」の自分のブラウザでの対応チェック と Internet Explorer にてSSL3.0の無効化設定を入れる手順 | 田舎に住みたいエンジニアの日記