SSL 3.0に脆弱性、各種Webブラウザの対策法は?

誤解を恐れずに述べると、セキュリティに対して敏感になるには、"偏執的"にならなければならない。どこにセキュリティホールが埋もれているか、いつ誰が自社のシステムに攻撃を試みるか"妄想"を抱えつつ、開始や対策を講じる必要があるからだ。もちろん筆者を含めた大体数のユーザーが、その域に達するのは難しい話である。だが、近年はセキュリティ脅威も拡大傾向にあり、個人ならオンラインバンキングからの不正送金や情報漏洩など、「知らなかった」では済まされない状況になりつつあるのだ。

このような話をした理由は9月中旬、SSL 3.0の脆弱性が発覚したからである。今回、脆弱性を発見したのはGoogleの研究者。SSL 3.0およびOpenSSL 1.0.1iを特定(CBC)モードで使用した際に攻撃が可能になる「POODLE (Padding Oracle On Downgraded Legacy Encryption)」という脆弱性を発見した。

Microsoftおよび日本マイクロソフトは、マイクロソフト セキュリティ アドバイザリ(3009008)を公開し、グループポリシーエディターやInternet Explorer 11のオプションダイアログからSSL 2.0、SSL 3.0の無効化およびTLS 1.0、TLS 1.1、TLS 1.2の有効化を推奨している。

Internet Explorer 11のオプションダイアログ。今回の脆弱性にはSSLをチェックオフし、TLSをチェックオンにすることを推奨した

Mozilla Foundationは次のバージョンとなるMozilla Firefox 34でSSL 3.0のサポートを終了し、11月25日までにリリースする。なお、現行版であるMozilla Firefox 33の場合、about:configから「security.tls.version.min」の値を「1」に変更することで、SSL 3.0を使わずTLS 1.0以降を使用する。

Mozilla Firefox 33は「security.tls.version.min」の値を「1」に変更することで、今回の脆弱性を回避できる

Google Chromeは、以前からSSL 3.0に関する脆弱性を未然に防ぐ技術「TLS_FALLBACK_SCSV」を導入しているため、問題ないとアナウンスした。忘れがちなのがJava SEである。バージョン7u67で確認したところ、Internet Explorer 11と同じくSSL 3.0は有効、TLS 1.0/1.1/1.2が無効だったため、対策を講じるためには、これらの設定も変更すべきだ。

コントロールパネルなどから「Javaコントロール・パネル」を起動し、詳細タブでInternet Explorerと同じ設定を施す