>>現在 3 人のゲストがご来店中です。

【重要】SSL 3.0の脆弱性(POODLE攻撃)の対策について

お客様各位

平素は格別のご高配を賜り誠にありがとうございます。
オビタスター株式会社です。

2014年10月16日より、SSL通信の特定のプロトコルバージョン
「SSL 3.0(SSLv3)」において、通信内容を読み取られる危険性がある、
脆弱性があるとして、JPCERTコーディネーションセンター(JPCERT/CC)を
はじめとする各種セキュリティ機関)から注意喚起が広く行なわれております。
該当の脆弱性につきましては、脆弱性発表直後より
弊社担当部署にてサーバー側における複数の対策手法などを
平行して検証しつつ、クライアント側(ブラウザソフトなど)の対策状況の把握、
および、サーバ側における対策の世界的な動向などに着目してまいりましたが、
世界的な対策情勢や、お客様からのサーバ側での対策についての多くのご要望を鑑み、
弊社ホスティングサービスにおきましても、「SSL 3.0」プロトコル を
「サーバ側で無効化」する対策を施すことで事案の対応とすることとなりましたので、
対応完了のご報告と共にご連絡させていただきます。
○ JPCERT/CC Alert - JVNVU#98283300: 
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃) 
http://jvn.jp/vu/JVNVU98283300/

○ SSL通信の際に安心なサイトかどうかを確認するサイトが
シマンテック社様より公開されております。
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

SSL3.0の危険性があるサイトの表示例
SSL3.0の危険性があるサイトの表示例
SSL3.0の危険性がない安全なサイトの表示例
SSL3.0の危険性がない安全なサイトの表示例

━━━━━━━━━━━━━━━━━━━━━━━━━━

脆弱性名:
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
(CVE-2014-3566)

━━━━━━━━━━━━━━━━━━━━━━━━━━

脆弱性対策について:
お客様ご契約のドメインのWebサーバへのHTTPS(SSL)接続時のSSL 3.0 プロトコルの無効化
新規申し込みフォームなどを含む弊社サイトへの HTTPS(SSL)接続での SSL 3.0 プロトコルの無効化

━━━━━━━━━━━━━━━━━━━━━━━━━━

脆弱性対策の影響範囲:
この対策作業によるサーバのダウンはございません。
本日の対策以降、お客様ご契約のドメインのWebサーバに対する、HTTPS(SSL)接続時に、
SSL 3.0を利用した接続がご利用いただけなくなります。
弊社新規申し込みフォームなどを含む弊社提供の支援サイトに対する、
HTTPS(SSL)接続時にSSL 3.0を利用した接続がご利用いただけなくなります。

Zen Cartの決済部分にて1.5系並びに、弊社開発決済モジュールを利用中の方にて、
弊社サポート・保守・メンテナンスをご契約の方は既に対応済みとなります。

━━━━━━━━━━━━━━━━━━━━━━━━━━

影響への対策方法:
◆ Webサービス利用での対策
PC での Webブラウザ対応について 
現在、各OSベンダがサポートを継続しているOSを用いたPCで稼動するWebブラウザの
ほとんどが既定の設定でSSL 3.0接続よりも優先して、TLS接続を用いるようになっているため、
既定値のままの設定でのご利用であれば、この対策による影響を受けることはございません。
何らかの事由で、TLS1.0の接続を無効化している場合、影響を受ける可能性がございます。
この場合、TLS接続(TLS1.0)を利用して、接続するよう設定変更を行ないます。
事例)Internet Explorer においての回復手順:「 SSLの設定手順 」を表示
※ Internet Explorerの既定の設定では「TLS1.0を使用する」が既に有効となっているため、
既定から操作していない限り、設定修正を行なう必要がございません。 
本日以降、HTTPS(SSL) 接続時に問題がある場合、
こちらの項目をご確認くださいますようお願い致します。
スマートフォンでのWebブラウザ対応について 
現在、各OSベンダがサポートを継続している OS(iOS/Android等)を用いた
スマートフォンの標準ブラウザのほとんどが既定の設定でSSL 3.0接続よりも優先して、
TLS接続を用いるようになっているため、既定値のままの設定であれば、
この対策による影響を受けることはございません。 
何らかの事由で、TLS1.0の接続を無効化している、もしくはTLS接続をサポート
していないブラウザを利用している場合、影響を受ける可能性がございます。 
この場合、TLS接続(TLS 1.0)を有効化して、接続するよう設定変更を行ないます。 
回復手順については、機種ごとに異なる可能性がございますので、本日以降、
HTTPS(SSL) 接続時に問題がある場合、各機種のキャリアサポート窓口に
ご確認をいただけますようお願い致します。
携帯電話(フィーチャーフォン)でのWebブラウザ対応について。 
影響を受ける可能性がある携帯電話について、各社から情報が掲載されて
おりますのでご参考ください。
o NTTドコモ
iモードブラウザ1.0 搭載の機種:影響を受けます。 
iモードブラウザ2.0以降を搭載の機種:影響を受けません 
https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html
o au(KDDI)
F001 および 2012年夏以降の機種:影響を受けません。 
2012年5月以降のアップデート対象機種:影響を受けません。 
該当でない機種: 影響を受けます。 
http://www.au.kddi.com/ezfactory/web/ 
http://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdf
o ソフトバンク
全機種: 影響を受けません。 
http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html 
TLS接続非対応の機種では、対策以降、HTTPS(SSL)接続が出来ません。 
恐れ入りますが、対応の機種もしくは、対応のPC/スマートフォンでの接続を
いただけますようお願い致します。
PSPやPS3など家庭用ゲーム機でのWebブラウザ対応について 
影響を受ける可能性がありますので、恐れ入りますが、対応のPCやスマートフォンで
接続いただけますようお願い致します。

━━━━━━━━━━━━━━━━━━━━━━━━━━

※CMSなどにてCURLをご利用の際、
curl_setopt($ch, CURLOPT_SSLVERSION, 3);
を入れていた場合、
http://php.net/manual/ja/function.curl-setopt.php
こちらに記載の通り、
注意:
この値は何も設定せず、デフォルトに任せるのが最適です。
2 や 3 を設定すると、SSLv2 および SSLv3 の既知の脆弱性の影響を受けるため、
非常に危険です。
と影響がありますので、こちらを外し、デフォルトの設定にされるようお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様およびご利用ユーザ様には、大変お手数をお掛け致しますが、
セキュリティ事案につき、最大限の保護をお客様およびご利用ユーザに
ご提供差し上げるためには必須の対策となりますので、何卒ご理解を賜りますようお願い申しあげます。
SSLを利用したセキュア通信につきましては、今後も、TLSの上位のバージョンのサポートや、
SHA2証明書への切り替えなど、様々な観点から注力し、情報セキュリティ対策をより一層進めていく所存でございます。

以上