2014年10月28日
お客様各位
【重要】SSL 3.0の脆弱性(POODLE攻撃)の対策について
平素よりASJサービスをご利用いただきありがとうございます。
2014年10月16日より、SSL通信の特定のプロトコルバージョン「SSL 3.0(SSLv3)」において、通信内容を読み取られる危険性がある,脆弱性があるとして、JPCERTコーディネーションセンター(JPCERT/CC)をはじめとする各種セキュリティ機関)から注意喚起が広く行なわれております。
該当の脆弱性につきましては、脆弱性発表直後より弊社担当部署にてサーバー側における複数の対策手法などを平行して検証しつつ、クライアント側(ブラウザソフトなど)の対策状況の把握、および、サーバ側における対策の世界的な動向などに着目してまいりましたが、世界的な対策情勢や、お客様からのサーバ側での対策についての多くのご要望を鑑み、弊社ホスティングサービスにおきましても、「SSL 3.0」プロトコル を「サーバ側で無効化」する対策を施すことで事案の対応とすることとなりましたので、ご報告致します。
○ JPCERT/CC Alert - JVNVU#98283300:
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
https://jvn.jp/vu/JVNVU98283300/
- 記 -
案内日時:2014年10月28日(火)
脆弱性名:SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃) (CVE-2014-3566)
脆弱性対策について:
- お客様ご契約のドメインのWebサーバへのHTTPS(SSL)接続時のSSL 3.0 プロトコルの無効化
- Web/メールコントロールパネル、Webメール 弊社契約者管理メニュー、新規申し込みフォームなどを含む顧客支援サイトへの HTTPS(SSL)接続での SSL 3.0 プロトコルの無効化
- お客様ご契約のドメインのペイメントサービスのクレジット決済サーバーへのHTTPS(SSL)接続時の、SSL 3.0プロトコルの無効化
- お客様ご契約のドメインのWebサーバへのFTP over SSL/TLS接続時の、SSL 3.0プロトコルの無効化。
- お客様ご契約のドメインのメールサーバへのPOP/IMAP/SMTP over SSL/TLS接続時のSSL 3.0プロトコルの無効化。
脆弱性対策予定日時:
- 2014年11月4日(火)午前9時より順次(2〜3時間程度を予定)、なおこの対策作業によるサーバのダウンはございません。
脆弱性対策の影響範囲:
- この対策作業によるサーバのダウンはございません。
- 対策以降、お客様ご契約のドメインのWebサーバに対する、HTTPS(SSL)接続時に、SSL 3.0を利用した接続がご利用いただけなくなります。
- Web/メールコントロールパネル、Webメール 弊社契約者管理メニュー、新規申し込みフォームなどを含む弊社提供の支援サイトに対する、HTTPS(SSL)接続時にSSL 3.0を利用した接続がご利用いただけなくなります。
- お客様ご契約のドメインのペイメントサービスのクレジット決済サーバーに対するHTTPS(SSL)接続時にSSL 3.0を利用した接続がご利用いただけなくなります。
- WebサーバへのFTP over SSL/TLS接続での、SSL 3.0を利用した接続がご利用いただけなくなります。
- メールサーバへのPOP/IMAP/SMTP over SSL/TLS接続での、SSL 3.0を利用した接続がご利用いただけなくなります。
影響への対策方法:
- ◆ Webサービス利用での対策
- PC での Webブラウザ対応について
現在、各OSベンダがサポートを継続しているOSを用いたPCで稼動するWebブラウザのほとんどが既定の設定でSSL 3.0接続よりも優先して、TLS接続を用いるようになっているため、既定値のままの設定でのご利用であれば、この対策による影響を受けることはございません。
何らかの事由で、TLS1.0の接続を無効化している場合、影響を受ける可能性がございます。
この場合、TLS接続(TLS1.0)を利用して、接続するよう設定変更を行ないます。
事例)Internet Explorer においての回復手順:「 SSLの設定手順 」を表示
※ Internet Explorerの既定の設定では「TLS1.0を使用する」が既に有効となっているため、既定から操作していない限り、設定修正を行なう必要がございません。
対策日以降、HTTPS(SSL) 接続時に問題がある場合、こちらの項目をご確認くださいますようお願い致します。 - スマートフォンでのWebブラウザ対応について
現在、各OSベンダがサポートを継続している OS(iOS/Android等)を用いたスマートフォンの標準ブラウザのほとんどが既定の設定でSSL 3.0接続よりも優先して、TLS接続を用いるようになっているため、既定値のままの設定であれば、この対策による影響を受けることはございません。
何らかの事由で、TLS1.0の接続を無効化している、もしくはTLS接続をサポートしていないブラウザを利用している場合、影響を受ける可能性がございます。
この場合、TLS接続(TLS 1.0)を有効化して、接続するよう設定変更を行ないます。
回復手順については、機種ごとに異なる可能性がございますので、対策日以降、HTTPS(SSL) 接続時に問題がある場合、各機種のキャリアサポート窓口にご確認をいただけますようお願い致します。 - 携帯電話(フィーチャーフォン)でのWebブラウザ対応について。
影響を受ける可能性がある携帯電話について、各社から情報が掲載されておりますのでご参考ください。o NTTドコモ
iモードブラウザ1.0 搭載の機種:影響を受けます。
iモードブラウザ2.0以降を搭載の機種:影響を受けません
https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.htmlo au(KDDI)
F001 および 2012年夏以降の機種:影響を受けません。
2012年5月以降のアップデート対象機種:影響を受けません。
該当でない機種: 影響を受けます。
https://www.au.kddi.com/ezfactory/web/
https://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdfo ソフトバンク
全機種: 影響を受けません。
https://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html
TLS接続非対応の機種では、対策以降、HTTPS(SSL)接続が出来ません。
恐れ入りますが、対応の機種もしくは、対応のPC/スマートフォン での接続をいただけますようお願い致します。- PSPやPS3など家庭用ゲーム機でのWebブラウザ対応について
影響を受ける可能性がありますので、恐れ入りますが、対応のPC や スマートフォン で接続いただけますようお願い致します。- FTP over SSL 利用での対策
FTP over SSL/TLS に際しましては、TLS1.0対応のソフトウェアをご利用するか、設定にて有効にしてご利用いただけますようお願い致します。
対応の詳細につきましては、お手数をお掛け致しますが、各ご利用のソフトウェアのサポート窓口にお問い合わせ頂けますようお願い致します。- POP/IMAP/SMTP over SSL 利用での対策
POP/IMAP/SMTP over SSL/TLS に際しましては、TLS1.0 対応のソフトウェアをご利用するか、設定にて有効にしてご利用いただけますようお願い致します。
対応の詳細につきましては、お手数をお掛け致しますが、各ご利用のソフトウェアのサポート窓口にお問い合わせ頂けますようお願い致します。お客様およびご利用ユーザ様には、大変お手数をお掛け致しますが、セキュリティ事案につき、最大限の保護をお客様およびご利用ユーザにご提供差し上げるためには必須の対策となりますので、何卒ご理解を賜りますようお願い申しあげます。
SSLを利用したセキュア通信につきましては、今後も、TLSの上位のバージョンのサポートや、SHA2証明書への切り替えなど、様々な観点から注力し、情報セキュリティ対策をより一層進めていく所存でございます。
以上
- PSPやPS3など家庭用ゲーム機でのWebブラウザ対応について