SSL 3.0 の脆弱性への対策

このポストは、10 月 29 日に投稿された Protecting against the SSL 3.0 vulnerability の翻訳です。

マイクロソフトは、情報漏えいが発生するおそれのある Secure Sockets Layer (SSL) 3.0 の脆弱性に関して、セキュリティ アドバイザリ 3009008 を公開し、ガイダンスを提供しています。これは、業界全体にかかわる脆弱性であり、プロトコルそのものに影響を及ぼすおそれがあります。マイクロソフトの製品実装に固有のものではありません。今回、セキュリティ アドバイザリを改訂し、1 クリックで簡単に実行できる Fix it を追加しました。このツールを実行すると、サポートされているすべてのバージョンの Internet Explorer (IE) で SSL 3.0 を無効にします。

マイクロソフトではお客様へのさらなる保護対策として、今後数か月以内に、IE における SSL 3.0 へのフォールバックを無効化すると共に、IE およびマイクロソフトのオンライン サービス全般において既定で SSL 3.0 を無効化する予定です。

2014 年 12 月 1 日より、Azure と Office 365 では SSL 3.0 のサポートが無効になります。そのため、2014 年 12 月 1 日以降に Azure および Office 365 サービスに問題なく接続するためには、すべてのクライアントとブラウザーの組み合わせにおいて TLS 1.0 以上を使用する必要があります。これに伴い、クライアントとブラウザーの組み合わせによっては、更新が必要になる場合があります。

マイクロソフトのオンライン サービスへの接続状況を分析した結果、現在も SSL 3.0 の利用を継続しているお客様はごく少数であることが判明していますが、マイクロソフトでは今回の変更についてさらなる周知を図り、SSL 3.0 が無効化される前に該当クライアントを確実に更新していただけるよう努めてまいります。

エンド ユーザーおよび管理者の皆様には、次に挙げるような対策を講じて、クライアントでの TLS 1.0 以上の使用を徹底していただきますよう、また、SSL 3.0 を事前に無効にしていただきますよう、よろしくお願いいたします。

• 個人のお客様は、Fix it をご利用いただけます。このツールは、サポートされているすべてのバージョンの Internet Explorer に対応しており、ブラウザーで SSL 3.0 を無効化することで、今回の脆弱性からお客様を確実に保護します。
• Azure Websites、ロール、Virtual Machines で事前に SSL 3.0 を無効化する場合は、こちらの記事で手順をご確認いただけます。
• Azure Web サービスのクライアントの設定によっては、アプリケーションのテストを実行して、SSL 3.0 に依存していないことを確認する必要があります。既定では、すべての Azure サービスで既に TLS 1.0 以上をサポートしています。
• Office 365 をご利用のお客様は、Office 365 ブログ (英語) でも詳細を公開していますので、ぜひご確認ください。