SSL 3.0 の脆弱性 [セキュリティ]
まあ、この問題が発覚してから随分経つのだが・・・
先日の10月20日頃からネットの様々な場所で警告されている“SSL 3.0 の脆弱性”。
この脆弱性を悪用すると個人情報を盗まれるということだが。
パソコンの場合はInternet Explorer等のブラウザは設定変更でとりあえず対処出来るようだ。しかしブラウザ以外のSSLによる通信を行うアプリケーションソフトウェアに関しては、それらにSSL 3.0を使用しない設定が用意されていなければ開発元によるアップデートで対処してもらうしかない。
また、携帯端末もこの脆弱性は影響する。これはスマホやタブレットなどのiOSやAndroidを使うモノは当然の事、ガラケーも例外ではない。
携帯端末の場合、対策はファームウェアのアップデートが必要なケースがほとんどだろうが、対策してくれる機種は限られるだろうから最悪の場合機種変更するしかないと思われる。
さらにインターネットが使えるテレビや家庭用ゲーム機(PlayStationやWiiとか。PSPも出来たっけ?)も影響を受けるが、こっちも各社がファームウェアのアップデート等で対処するしかない。
というわけで、ここではとりあえずWindows用のInternet ExplorerとFirefoxの場合の対策を書く。(Chromeは最新バージョンで対策済み)
ただしこの対策を行うとSSLを使った通信が使えなくなり、SSLのみをサポートするサイトを利用する事が出来なくなるので注意。
Internet Explorerの場合(SSL 3.0 の脆弱性により、情報漏えいが起こるより抜粋)
1.Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
2.[インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
3.[セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
4.[OK] をクリックします。
5.終了し、Internet Explorer を再起動します。
Firefoxの場合
1.アドレス欄に「about:config」と入力してEnterキーを押す
2.警告が出たら「細心の注意を払って使用する」をクリック
3.検索欄に「security.tls.version.min」と入力
4.「security.tls.version.min」の項目が設定名欄に残るのでこれをダブルクリック
5.値を0から1に変更してOKをクリック
6.Firefoxを再起動する
又は、Mozilla公式が提供するアドオン「SSL Version Control」をインストールするだけで“SSL 3.0”を無効化出来るので、「about:config」を操作する事が不安ならばこちらを利用すれば良い。
追記:Javaの設定
特にメーカー製パソコン等ではJavaがインストールされていると思うので、こちらも対策を。
1.Javaコントロールパネルを開く(例:スタートメニューの「Java」→「Configure Java」を実行)
2.詳細タブを選択
3.スライドバーを下げて「高度なセキュリティ設定」が見えるようにする
4.SSL2.0と3.0のチェックボックスのチェックを外し、TLSの全てをチェックする
以上。
パソコン以外の対策は、それぞれの機種を提供する各社のサイト(携帯端末ならドコモ等の各キャリア又は端末を製造する各メーカー、ゲーム機ならそれを作っている会社)にSSLに関する対応状況が書かれているようなので、持っているのなら確認した方がいいと思う。
参考
SSL 3.0の脆弱性とSHA-2への移行を促すMicrosoft
http://news.mynavi.jp/articles/2014/10/20/windows8report/
SSL 3.0に深刻な脆弱性が見つかる
http://security.slashdot.jp/story/14/10/15/0850246/SSL-3.0%E3%81%AB%E6%B7%B1%E5%88%BB%E3%81%AA%E8%84%86%E5%BC%B1%E6%80%A7%E3%81%8C%E8%A6%8B%E3%81%A4%E3%81%8B%E3%82%8B
「Firefox」の“SSL 3.0”対応を無効化できる拡張機能「SSL Version Control」
http://www.forest.impress.co.jp/docs/review/20141020_672147.html
先日の10月20日頃からネットの様々な場所で警告されている“SSL 3.0 の脆弱性”。
この脆弱性を悪用すると個人情報を盗まれるということだが。
パソコンの場合はInternet Explorer等のブラウザは設定変更でとりあえず対処出来るようだ。しかしブラウザ以外のSSLによる通信を行うアプリケーションソフトウェアに関しては、それらにSSL 3.0を使用しない設定が用意されていなければ開発元によるアップデートで対処してもらうしかない。
また、携帯端末もこの脆弱性は影響する。これはスマホやタブレットなどのiOSやAndroidを使うモノは当然の事、ガラケーも例外ではない。
携帯端末の場合、対策はファームウェアのアップデートが必要なケースがほとんどだろうが、対策してくれる機種は限られるだろうから最悪の場合機種変更するしかないと思われる。
さらにインターネットが使えるテレビや家庭用ゲーム機(PlayStationやWiiとか。PSPも出来たっけ?)も影響を受けるが、こっちも各社がファームウェアのアップデート等で対処するしかない。
というわけで、ここではとりあえずWindows用のInternet ExplorerとFirefoxの場合の対策を書く。(Chromeは最新バージョンで対策済み)
ただしこの対策を行うとSSLを使った通信が使えなくなり、SSLのみをサポートするサイトを利用する事が出来なくなるので注意。
Internet Explorerの場合(SSL 3.0 の脆弱性により、情報漏えいが起こるより抜粋)
1.Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
2.[インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
3.[セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
4.[OK] をクリックします。
5.終了し、Internet Explorer を再起動します。
Firefoxの場合
1.アドレス欄に「about:config」と入力してEnterキーを押す
2.警告が出たら「細心の注意を払って使用する」をクリック
3.検索欄に「security.tls.version.min」と入力
4.「security.tls.version.min」の項目が設定名欄に残るのでこれをダブルクリック
5.値を0から1に変更してOKをクリック
6.Firefoxを再起動する
又は、Mozilla公式が提供するアドオン「SSL Version Control」をインストールするだけで“SSL 3.0”を無効化出来るので、「about:config」を操作する事が不安ならばこちらを利用すれば良い。
追記:Javaの設定
特にメーカー製パソコン等ではJavaがインストールされていると思うので、こちらも対策を。
1.Javaコントロールパネルを開く(例:スタートメニューの「Java」→「Configure Java」を実行)
2.詳細タブを選択
3.スライドバーを下げて「高度なセキュリティ設定」が見えるようにする
4.SSL2.0と3.0のチェックボックスのチェックを外し、TLSの全てをチェックする
以上。
パソコン以外の対策は、それぞれの機種を提供する各社のサイト(携帯端末ならドコモ等の各キャリア又は端末を製造する各メーカー、ゲーム機ならそれを作っている会社)にSSLに関する対応状況が書かれているようなので、持っているのなら確認した方がいいと思う。
参考
SSL 3.0の脆弱性とSHA-2への移行を促すMicrosoft
http://news.mynavi.jp/articles/2014/10/20/windows8report/
SSL 3.0に深刻な脆弱性が見つかる
http://security.slashdot.jp/story/14/10/15/0850246/SSL-3.0%E3%81%AB%E6%B7%B1%E5%88%BB%E3%81%AA%E8%84%86%E5%BC%B1%E6%80%A7%E3%81%8C%E8%A6%8B%E3%81%A4%E3%81%8B%E3%82%8B
「Firefox」の“SSL 3.0”対応を無効化できる拡張機能「SSL Version Control」
http://www.forest.impress.co.jp/docs/review/20141020_672147.html
98式軍刀 さん
-
nice! 863
記事 998
テーマ パソコン・インターネット (18位)
プロフィール
ブログを紹介する
コメント 0