2014年10月28日

お客様各位

【重要】SSL 3.0の脆弱性(POODLE攻撃)の対策について

 平素よりASJサービスをご利用いただきありがとうございます。

 2014年10月16日より、SSL通信の特定のプロトコルバージョン「SSL 3.0(SSLv3)」において、通信内容を読み取られる危険性がある,脆弱性があるとして、JPCERTコーディネーションセンター(JPCERT/CC)をはじめとする各種セキュリティ機関)から注意喚起が広く行なわれております。

 該当の脆弱性につきましては、脆弱性発表直後より弊社担当部署にてサーバー側における複数の対策手法などを平行して検証しつつ、クライアント側(ブラウザソフトなど)の対策状況の把握、および、サーバ側における対策の世界的な動向などに着目してまいりましたが、世界的な対策情勢や、お客様からのサーバ側での対策についての多くのご要望を鑑み、弊社ホスティングサービスにおきましても、「SSL 3.0」プロトコル を「サーバ側で無効化」する対策を施すことで事案の対応とすることとなりましたので、ご報告致します。

○ JPCERT/CC Alert - JVNVU#98283300:
 SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
  https://jvn.jp/vu/JVNVU98283300/

- 記 -

案内日時:2014年10月28日(火)

脆弱性名:SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)  (CVE-2014-3566)

脆弱性対策について

  1. お客様ご契約のドメインのWebサーバへのHTTPS(SSL)接続時のSSL 3.0 プロトコルの無効化
  2. Web/メールコントロールパネル、Webメール 弊社契約者管理メニュー、新規申し込みフォームなどを含む顧客支援サイトへの HTTPS(SSL)接続での SSL 3.0 プロトコルの無効化
  3. お客様ご契約のドメインのペイメントサービスのクレジット決済サーバーへのHTTPS(SSL)接続時の、SSL 3.0プロトコルの無効化
  4. お客様ご契約のドメインのWebサーバへのFTP over SSL/TLS接続時の、SSL 3.0プロトコルの無効化。
  5. お客様ご契約のドメインのメールサーバへのPOP/IMAP/SMTP over SSL/TLS接続時のSSL 3.0プロトコルの無効化。

脆弱性対策予定日時

  1. 2014年11月4日(火)午前9時より順次(2〜3時間程度を予定)、なおこの対策作業によるサーバのダウンはございません。

脆弱性対策の影響範囲

  1. この対策作業によるサーバのダウンはございません。
  2. 対策以降、お客様ご契約のドメインのWebサーバに対する、HTTPS(SSL)接続時に、SSL 3.0を利用した接続がご利用いただけなくなります。
  3. Web/メールコントロールパネル、Webメール 弊社契約者管理メニュー、新規申し込みフォームなどを含む弊社提供の支援サイトに対する、HTTPS(SSL)接続時にSSL 3.0を利用した接続がご利用いただけなくなります。
  4. お客様ご契約のドメインのペイメントサービスのクレジット決済サーバーに対するHTTPS(SSL)接続時にSSL 3.0を利用した接続がご利用いただけなくなります。
  5. WebサーバへのFTP over SSL/TLS接続での、SSL 3.0を利用した接続がご利用いただけなくなります。
  6. メールサーバへのPOP/IMAP/SMTP over SSL/TLS接続での、SSL 3.0を利用した接続がご利用いただけなくなります。

影響への対策方法

    ◆ Webサービス利用での対策
  1. PC での Webブラウザ対応について
    現在、各OSベンダがサポートを継続しているOSを用いたPCで稼動するWebブラウザのほとんどが既定の設定でSSL 3.0接続よりも優先して、TLS接続を用いるようになっているため、既定値のままの設定でのご利用であれば、この対策による影響を受けることはございません。
    何らかの事由で、TLS1.0の接続を無効化している場合、影響を受ける可能性がございます。
    この場合、TLS接続(TLS1.0)を利用して、接続するよう設定変更を行ないます。

    事例)Internet Explorer においての回復手順:「 SSLの設定手順 」を表示
    ※ Internet Explorerの既定の設定では「TLS1.0を使用する」が既に有効となっているため、既定から操作していない限り、設定修正を行なう必要がございません。
    対策日以降、HTTPS(SSL) 接続時に問題がある場合、こちらの項目をご確認くださいますようお願い致します。

  2. スマートフォンでのWebブラウザ対応について
    現在、各OSベンダがサポートを継続している OS(iOS/Android等)を用いたスマートフォンの標準ブラウザのほとんどが既定の設定でSSL 3.0接続よりも優先して、TLS接続を用いるようになっているため、既定値のままの設定であれば、この対策による影響を受けることはございません。
    何らかの事由で、TLS1.0の接続を無効化している、もしくはTLS接続をサポートしていないブラウザを利用している場合、影響を受ける可能性がございます。
    この場合、TLS接続(TLS 1.0)を有効化して、接続するよう設定変更を行ないます。
    回復手順については、機種ごとに異なる可能性がございますので、対策日以降、HTTPS(SSL) 接続時に問題がある場合、各機種のキャリアサポート窓口にご確認をいただけますようお願い致します。
  3. 携帯電話(フィーチャーフォン)でのWebブラウザ対応について。
    影響を受ける可能性がある携帯電話について、各社から情報が掲載されておりますのでご参考ください。

    o NTTドコモ

    iモードブラウザ1.0 搭載の機種:影響を受けます。
    iモードブラウザ2.0以降を搭載の機種:影響を受けません
    https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html

    o au(KDDI)

    F001 および 2012年夏以降の機種:影響を受けません。
    2012年5月以降のアップデート対象機種:影響を受けません。
    該当でない機種: 影響を受けます。
    https://www.au.kddi.com/ezfactory/web/
    https://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdf

    o ソフトバンク

    全機種: 影響を受けません。
    https://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html
    TLS接続非対応の機種では、対策以降、HTTPS(SSL)接続が出来ません。
    恐れ入りますが、対応の機種もしくは、対応のPC/スマートフォン での接続をいただけますようお願い致します。

  4. PSPやPS3など家庭用ゲーム機でのWebブラウザ対応について
    影響を受ける可能性がありますので、恐れ入りますが、対応のPC や スマートフォン で接続いただけますようお願い致します。
  5. FTP over SSL 利用での対策
    FTP over SSL/TLS に際しましては、TLS1.0対応のソフトウェアをご利用するか、設定にて有効にしてご利用いただけますようお願い致します。
    対応の詳細につきましては、お手数をお掛け致しますが、各ご利用のソフトウェアのサポート窓口にお問い合わせ頂けますようお願い致します。
  6. POP/IMAP/SMTP over SSL 利用での対策
    POP/IMAP/SMTP over SSL/TLS に際しましては、TLS1.0 対応のソフトウェアをご利用するか、設定にて有効にしてご利用いただけますようお願い致します。
    対応の詳細につきましては、お手数をお掛け致しますが、各ご利用のソフトウェアのサポート窓口にお問い合わせ頂けますようお願い致します。

お客様およびご利用ユーザ様には、大変お手数をお掛け致しますが、セキュリティ事案につき、最大限の保護をお客様およびご利用ユーザにご提供差し上げるためには必須の対策となりますので、何卒ご理解を賜りますようお願い申しあげます。

SSLを利用したセキュア通信につきましては、今後も、TLSの上位のバージョンのサポートや、SHA2証明書への切り替えなど、様々な観点から注力し、情報セキュリティ対策をより一層進めていく所存でございます。

以上

トップへ