ページ

2014-10-16

【SSL 3.0脆弱性「POODLE」】自分のPCの情報を守るために最低限やっておくこと

昨日10月15日に、GoogleがSSL 3.0の脆弱性「POODLE(プードル)」についてアナウンスして、各メディアを騒がせていることはご存知かと思います。このSSL 3.0の脆弱性「POODLE」を悪用されるとパスワードやクッキーにアクセスできてしまい、クッキー情報が漏洩する恐れがあります。問題の「SSL 3.0」は15年前のバージョンです。ただ、現在も多くのWebサイトで使用されており、またWebブラウザの多くでもサポートしています。自分で出来る最低限の処置として、現在使っているブラウザを確認し、それぞれ以下の対処を行っておきましょう



Googleは現地時間の10月14日、SSL 3.0の深刻な脆弱性「POODLE(Padding Oracle On Downgraded Legacy Encryptionの略)」の発見とその対策についてのアナウンスを行いました。その経過や公開情報に付いては、当ブログでも触れています。

【Twitterまとめ】SSL 3.0の深刻な脆弱性「POODLE(プードル)」について

ここでは、現在使用しているブラウザのうち、メジャーなGoogle ChromeInternet ExplorerFirefoxで行っておくべきことを記述しておきます。SSL 3.0は、クッキーにパスワードを保存してるサイト、特に銀行系サイトで使用されていることが多いので注意が必要です。

まずは、使用しているブラウザを最新バージョンに更新しましょう。


Google Chrome


Googleでは、すでに2月から同社Webブラウザ「Chrome」と同社サーバに「TLS_FALLBACK_SCSV」を採用し、互換性の問題もなく使えているとのことで、対処済みです。「Chrome」の場合はほとんどのユーザーが自動アップデートとなっていると思われますが、念のために最新バージョンであるかだけは確認しておきましょう。


Internet Explorer


上記で述べた通り、まずは最新バージョンに更新しましょう。

Internet Explorerが最新バージョンであることを確認して、メインメニュー[ツール]→[インターネット オプション]→[詳細設定]を開きます。[詳細設定]画面の設定窓を下にスクロールして「SSL 2.0を使用する」と「SSL 3.0を使用する」のチェックを外します。


Firefox


まずは、最新版に更新しましょう。現在、昨日のFirefox 33.0リリースによる更新もあり、混んでいるようなので多少時間がかかるかもしれません。

オプション設定から「SSL 2.0」「SSL 3.0」の使用をコントロールできたのですが、現在その設定を行えなくなっています(どのバージョンから外したかは不明)。その変わりMozillaから出ているアドオン「SSL Version Control」で対応できるので、Firefoxにインストールしておきましょう。再起動する必要はありません。

▶︎ SSL Version Control :: Add-ons for Firefox


Safariについては、修正版のリリースを待つしかなさそうです。また、現在使用しているブラウザが、SSL 3.0のセキュリティ・バグによって脆弱であるか「SSLv3 Poodle Attack Check」サイトで確認できるので試してみてください。同サイトにアクセスすると、iPhoneなどのデバイスのブラウザもチェックすることができます。同サイトにアクセスして“プードル”が表示されたらアウトと言うことのようです。

▶︎ SSLv3 Poodle Attack Check

ちなみに、iPhoneに入っているSafariで試したところ、見事に“プードル”が出てきました。また、同様にiPhoneにインストールされているGoogle Chromeで試したところ、こちらも何故か“プードル”が出てしまいました。あれっ?Google Chromeは対応済みじゃなかったの?モバイル版は別なんでしょうか?


Google Chromeで“プードル”が出てしまう現象は、「SSLv3 Poodle Attack Check」を行っているpoodletest.comサイトのチェックに問題があるようです。問題と言うよりチェックの仕方ですね。poodletest.comサイトでは、単純に「SSL 3.0」がそのブラウザで無効になっているかをチェックしているようです。Google Chromeの場合は、「SSL 3.0」自体を無効にしているのではなく、「SSL 3.0」の機能はそのまま生きているものの「SSL 3.0」が作動しないようにプログラム上で回避しているようです)。

もっと正確にブラウザが「SSL 3.0」の脆弱性に対して安全か確認したい場合には「Qualys SSL Labs - Projects / SSL Client Test」サイトにアクセスしてみて下さい。「Your user agent is not vulnerable.」のメッセージが出れば安心です。



関連記事:
【Twitterまとめ】SSL 3.0の深刻な脆弱性「POODLE(プードル)」について


0 件のコメント:

コメントを投稿