なりすまし、不正送金・・・深刻な脆弱性「Poodle」の対策方法
今年の10月に、インターネットの通信暗号化に広く利用されているSSL3.0に深刻な脆弱性があることが米グーグル社から発表され、Poodle(プードル)脆弱性と命名されました。
SSLとはインターネットを安全に使うための暗号化技術であり、ウェブサイトが偽物でなく本物であることの「認証」と、通信内容の盗聴や改ざんを防ぐための「暗号化」という2つの役割があります。
Poodle脆弱性は、これらのうち「暗号化」の不備になります。Poodle脆弱性があると、暗号化された通信の内容が第三者に解読されてしまう可能性があります。この結果、個人情報漏えい、なりすまし、不正送金などの被害にあう可能性があります。
Poodle対策として各種ブラウザの提供元はバージョンアップによる対応を予定していますが、マイクロソフトは当面の対策としてInternet Explorer(IE)上でSSL 3.0を無効化するための簡易設定プログラムFix itを発表しています。
◆対処方法1:マイクロソフト提供のFix itを使う
『マイクロソフト サポート』
https://support.microsoft.com/kb/3009008/ja
「Internet Explorer で SSL 3.0 を無効にする」の下側のアイコンをクリックして、ダウンロードされたプログラムを実行してください。
◆対処法2:Internet Explorerの設定を変更し、SSL3.0を利用できなくする
※注: この回避策を適用した後、Internet Explorer は、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、 および TLS 1.2 をサポートしない Web サーバーに接続できなくなります。
【手順】
1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
2. [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
3. [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
4. [OK] をクリックします。
5. 終了し、Internet Explorer を再起動します。
記事監修:HASHコンサルティング株式会社 代表取締役 徳丸 浩 氏