2014年10月28日
お客様各位
【重要】SSL 3.0の脆弱性(POODLE攻撃)の対策について
平素より eドメイン.comサービスをご利用いただきありがとうございます。
2014年10月16日より、SSL通信の特定のプロトコルバージョン「SSL 3.0(SSLv3)」において、通信内容を読み取られる危険性がある,脆弱性があるとして、JPCERTコーディネーションセンター(JPCERT/CC)をはじめとする各種セキュリティ機関)から注意喚起が広く行なわれております。
該当の脆弱性につきましては、脆弱性発表直後より弊社担当部署にてサーバー側における複数の対策手法などを平行して検証しつつ、クライアント側(ブラウザソフトなど)の対策状況の把握、および、サーバ側における対策の世界的な動向などに着目してまいりましたが、世界的な対策情勢や、お客様からのサーバ側での対策についての多くのご要望を鑑み、弊社ホスティングサービスにおきましても、「SSL 3.0」プロトコル を「サーバ側で無効化」する対策を施すことで事案の対応とすることとなりましたので、ご報告致します。
○ JPCERT/CC Alert - JVNVU#98283300:
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
https://jvn.jp/vu/JVNVU98283300/
- 記 -
案内日時:2014年10月28日(火)
脆弱性名:SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃) (CVE-2014-3566)
脆弱性対策について:
脆弱性対策予定日時:
脆弱性対策の影響範囲:
影響への対策方法:
◆ サービス利用時の対策
事例)Internet Explorer においての回復手順:「 SSLの設定手順 」を表示
※ Internet Explorerの既定の設定では「TLS1.0を使用する」が既に有効となっているため、既定から操作していない限り、設定修正を行なう必要がございません。
対策日以降、HTTPS(SSL) 接続時に問題がある場合、こちらの項目をご確認くださいますようお願い致します。
o NTTドコモ
iモードブラウザ1.0 搭載の機種:影響を受けます。
iモードブラウザ2.0以降を搭載の機種:影響を受けません
https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html
o au(KDDI)
F001 および 2012年夏以降の機種:影響を受けません。
2012年5月以降のアップデート対象機種:影響を受けません。
該当でない機種: 影響を受けます。
https://www.au.kddi.com/ezfactory/web/
https://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdf
o ソフトバンク
全機種: 影響を受けません。
https://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html
TLS接続非対応の機種では、対策以降、HTTPS(SSL)接続が出来ません。
恐れ入りますが、対応の機種もしくは、対応のPC/スマートフォン での接続をいただけますようお願い致します。
お客様およびご利用ユーザ様には、大変お手数をお掛け致しますが、セキュリティ事案につき、最大限の保護をお客様およびご利用ユーザにご提供差し上げるためには必須の対策となりますので、何卒ご理解を賜りますようお願い申しあげます。
SSLを利用したセキュア通信につきましては、今後も、TLSの上位のバージョンのサポートや、SHA2証明書への切り替えなど、様々な観点から注力し、情報セキュリティ対策をより一層進めていく所存でございます。
以上