【お願い】POODLE SSLv3 ウェブ暗号化通信脆弱性による情報漏洩への対策を!

京都大学東南アジア地域研究研究所 情報処理室 > お知らせ > 緊急通知 > 【お願い】POODLE SSLv3 ウェブ暗号化通信脆弱性による情報漏洩への対策を!

各位

ウェブ暗号化通信技術として一般的に利用されているSSLに、深刻な脆弱性が発見されました。

情報漏洩の可能性

オンラインショップ、オンラインバンク、各種パスワードが必要なログイン情報など、インターネットで暗号化され安全に利用している個人情報が漏洩する危険性のある脆弱性です。本研究所のサーバーは対処済みですが、各端末に入っている各ブラウザでの対応が必要です。影響がかなり大きいため、出来るだけはやく対応するようお願い致します。

以下、情報を纏めます。

下記で対応できない場合、あるいはIT担当者でサーバーの対処方法も含めて、より詳しい情報を知りたい場合には、
【IT担当者向け】POODLE SSLv3 ウェブ暗号化通信脆弱性への対策メモ に調査したメモをつけているので、参照してみてください。

脆弱性があるかどうかのテスト方法

https://www.poodletest.com

にアクセスし、「Vulnerable」と表示されたら脆弱性を持っている可能性があります。
その場合には下記を参考に対処してください。

対処方法(ウェブブラウザ)

Internet Explorerをお使いの方

  1. Internet Exploreを最新バージョンにアップデートしてください。
  2. https://support.microsoft.com/kb/3009008/#FixItForMe より「Microsoft fix it 51024」ツールをダウンロードし、これを実行(開き)し、インストールしてください。
  3. Internet Explorerを再起動してください。
  4. https://www.poodletest.com にアクセスし、「Not Vulnerable」になることを確認してください。

もしVulnerableのまま変化なければ、端末を再起動して試してみてください。

Mozilla Firefoxをお使いの方

  1. Firefoxを最新バージョンにアップデートしてください
  2. Firefoxを起動し、https://addons.mozilla.org/ja/firefox/addon/ssl-version-control/ より、「SSL Version Control」をインストールしてください。
  3. Firefoxを再起動してください。
  4. https://www.poodletest.com にアクセスし、「Not Vulnerable」になることを確認してください。

もしVulnerableのまま変化なければ、端末を再起動して試してみてください。

Google Chromeをお使いの方

テストツールではVulnerableと出ますが、テストツールで検知できない方法を使っているためとのことです。
This POODLE bites: exploiting the SSL 3.0 fallback (Google Online Security Blog)のGoogle公式発表によれば、10月14日(米国時間)時点で、対応済みということです。以下の操作をして、Chromeが最新版になっていることを確認してください。

もし更新が失敗するようなら、https://support.google.com/chrome/answer/95346?hl=ja より最新版Chromeをダウンロードし、インストールしてください。これで更新されます。

Safariをお使いの方

Windowsをお使いの場合

Windows版Safariは現在配布されておらず、情報処理推進機構ではセキュリティホールが存在するため利用停止が勧告されていました。従って、現時点で利用されている方は他のブラウザへ乗り換えることをお勧めします。

Macintoshをお使いの場合

Appleから出ているセキュリティ修正パッチがインストールされているか確認してください。

  1. 左上のアップルメニューより「ソフトウェア・アップデート」を選択
    ※MacOS 10.10の場合には、Macについてより、ソフトウェア・アップデートにアクセスしてください。
  2. 「アップデート」タブに、Security Update 2014-005が記載されアップデートされていることを確認

もしなければ、アップデートしてください。
不明であれば、Security Update 2014-005よりパッチをダウンロードし、インストールしてください。
※パッチをあてても、テストツールではVulnerableと出るため、完全に対応されているかユーザー側には分かりません。

現時点ではAppleの修正パッチを信じるしかありません。

また、修正パッチの提供は、MacOS 10.8以降になります。Windows版およびMacOS 10.7以下については提供されていません。
MacOS 10.6以降をお使いの方は、これを機会にMacOS 10.10(Yosemite)へのアップグレード(無料)を是非検討してください。またMacOS 10.5以下をお使いの方は、新しいMacの購入を強く推奨します。

※本研究所ネットワークでは、本研究所が提供するセキュリティ対策ソフト導入を義務付けしている関係上、現時点においてMacOSについては10.6以降しか接続を認めておりませんので、ご注意下さい。

Operaをお使いの方

  1. Operaを最新版へアップデートしてください。
  2. 設定→詳細設定→セキュリティ→セキュリティプロトコルについて、SSLをOFFにします。

 対処方法(電子メール)

を参考にしてみてください。

2014年11月12日 情報処理室長・木谷

記事を評価する(This article is evaluated): [1 Star2 Stars3 Stars4 Stars5 Stars] 未評価(Not Yet)
読み込み中...