SSLを使うときには要注意です。
JPCERT/CCという組織が、SSLv3について脆弱性(セキュリティホール)が見つかったと発表しました。
通常は、サーバ側の問題であまり一般ユーザーが対処すべきことはすくなかったりしたのですが、今回は一般ユーザーにも関係があります。マイナビが記事にしていますので紹介します。
JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は10月16日、「JPCERT/CC Alert – JVNVU#98283300: SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)」においてSSL v3のセキュリティ脆弱性について伝えた。該当するソフトウェアを使用している場合は説明されている対策方法などを適用し、早期に問題に対処することが推奨される。
主要ブラウザはHTTPSでの通信において、上位プロトコルをサポートしていないサーバと通信する際はSSL v3などへプロトコルのバージョンをダウングレードして通信を行う機能を提供している。この場合、SSL v3においてCBCモードで通信が実施されると、中間者攻撃を通じて通信内容を解読される危険性が指摘されている。
この問題はOpenSSLなどの実装系をはじめSSL v3をサポートしているすべてのソフトウェアが影響を受ける可能性がある。JPCERTコーディネーションセンターはこうした問題を回避するため、サーバまたはクライアントにおいてSSL v3を無効にすることを推奨しているほか、TLS Fallback Signaling Cipher Suite Value (SCSV)などの活用を推奨している。
リンク先のところにも記載がありますがクライアント側でも対応が必要になります。IE(インターネットエクスプローラ)ではインターネットオプションの詳細タブに「SSLv3を使用する」という項目があるので、そちらをオフにすれば大丈夫。
GoolgeChromeとFirefoxは、次のアップデートで対応する予定なので、不安な場合はIEを使った方がよいかもしれませんね。