マイクロソフト セキュリティ アドバイザリ 3009008
SSL 3.0 の脆弱性により、情報漏えいが起こる
公開日: 2014 年 10 月 14 日 |更新日: 2015 年 4 月 14 日
バージョン: 3.0
一般情報
概要
Microsoft は、SSL 3.0 の脆弱性を悪用する新しい方法を説明する詳細な情報が公開されていることを認識しています。 これは、SSL 3.0 プロトコル自体に影響を与える業界全体の脆弱性であり、Windows オペレーティング システムに固有のものではありません。 サポートされているすべてのバージョンの Microsoft Windows では、このプロトコルが実装されており、この脆弱性の影響を受けます。 Microsoft は、現時点で報告された脆弱性を使用しようとする攻撃を認識していません。 攻撃シナリオを考慮すると、この脆弱性は顧客に対する高リスクとは見なされません。
Microsoft Active Protections Program (MAPP) のパートナーと積極的に協力して、より広範な保護を顧客に提供するために使用できる情報を提供しています。
Microsoft は、2015 年 4 月 14 日にセキュリティ更新プログラムの3038314がリリースされると、インターネット エクスプローラー 11 では SSL 3.0 が既定で無効になっていることを発表しています。 Microsoft は、今後数か月間、Microsoft オンライン サービス全体で SSL 3.0 が無効になることも発表しています。 お客様は、TLS 1.0、TLS 1.1、TLS 1.2 などのより安全なセキュリティ プロトコルにクライアントとサービスを移行することをお勧めします。
軽減要因:
- 攻撃者は、攻撃が成功する前に数百の HTTPS 要求を行う必要があります。
- TLS 1.0、TLS 1.1、TLS 1.2、および CBC モードを使用しないすべての暗号スイートは影響を受けません。
推奨。 SSL 3.0 を無効にする回避策については、このアドバイザリの 「推奨されるアクション」 セクションを参照してください。 Microsoft では、これらの回避策を使用して、SSL 3.0 の使用に関するクライアントとサービスをテストし、それに応じて移行を開始することをお勧めします。
アドバイザリの詳細
問題の参照
この問題の詳細については、次のリファレンスを参照してください。
参照 | [識別] |
---|---|
サポート技術情報の資料 | 3009008 |
CVE リファレンス | CVE-2014-3566 |
影響を受けるソフトウェア
このアドバイザリでは、次のソフトウェアについて説明します。
影響を受けるソフトウェア
|**オペレーティング システム**| |------------| |Windows Server 2003 Service Pack 2| |Windows Server 2003 x64 Edition Service Pack 2| |Windows Server 2003 with SP2 for Itanium-based Systems| |Windows Vista Service Pack 2| |Windows Vista x64 Edition Service Pack 2| |Windows Server 2008 for 32 ビット システム Service Pack 2| |Windows Server 2008 for x64 ベースのシステム Service Pack 2| |Windows Server 2008 for Itanium ベースのシステム Service Pack 2| |Windows 7 for 32 ビット システム Service Pack 1| |Windows 7 for x64 ベースのシステム Service Pack 1| |Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1| |Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1| |32 ビット システム向け Windows 8| |Windows 8 for x64 ベースのシステム| |32 ビット システムのWindows 8.1| |x64 ベースシステムのWindows 8.1| |Windows Server 2012| |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |**Server Core インストール オプション**| |Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール)| |Windows Server 2008 for x64 ベースのシステム Service Pack 2 (Server Core インストール)| |Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1 (Server Core インストール)| |Windows Server 2012 (Server Core のインストール)| |Windows Server 2012 R2 (Server Core のインストール)|
アドバイザリに関する FAQ
私は11以外のインターネットエクスプローラーのバージョンを使用しています。 この脆弱性からシステムを保護するにはどうすればよいですか?
SSL 3.0 は、Microsoft Windows でサポートされているすべてのエディションのインターネット エクスプローラー 11 でのみ無効になっています。 別のバージョンのインターネット エクスプローラーを使用している場合は、「推奨される回避策」セクションを参照して、この脆弱性から保護するためにシステムに適用できる回避策を確認してください。
アドバイザリの範囲は何ですか?
このアドバイザリの目的は、SSL 3.0 に影響を与える脆弱性を悪用する新しい方法を説明する詳細情報を Microsoft が認識していることをお客様に通知することです。 この脆弱性は、情報漏えいの脆弱性です。
攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
中間者 (MiTM) 攻撃では、攻撃者は暗号化された TLS セッションをダウングレードし、クライアントに SSL 3.0 の使用を強制した後、ブラウザーに悪意のあるコードを強制的に実行させる可能性があります。 このコードは、以前に認証されたセッションが存在する場合に Cookie が自動的に送信される、複数の要求をターゲット HTTPS Web サイトに送信します。 これは、この脆弱性を悪用するために必要な条件です。 攻撃者はこの HTTPS トラフィックを傍受し、SSL 3.0 の CBC ブロック暗号の弱点を悪用することで、暗号化されたトラフィックの一部 (認証 Cookie など) を復号化する可能性があります。
攻撃者がこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、暗号化されたトラフィックの一部を復号化する可能性があります。
この脆弱性の原因は何ですか?
この脆弱性は、SSL 3.0 での CBC ブロック暗号パディング検証の欠如が原因で発生します。
SSL とは
Secure Sockets Layer (SSL) は、インターネット経由の通信セキュリティを提供する暗号化プロトコルです。 SSL は、プライバシーのための暗号化とメッセージの信頼性のためのキー付きメッセージ認証コードを使用して、ネットワーク経由で転送されるデータを暗号化します。
TLS とは
トランスポート層セキュリティ (TLS) は、インターネットまたはイントラネット上でセキュリティで保護された Web 通信を提供するために使用される標準プロトコルです。 これにより、クライアントはサーバーを認証したり、必要に応じてサーバーを認証したりできます。 また、通信を暗号化することで、セキュリティで保護されたチャネルを提供します。 TLS は、Secure Sockets Layer (SSL) プロトコルの最新バージョンです。
TLS はこの問題の影響を受けますか?
いいえ。 この問題は SSL 3.0 に固有です。
これは業界全体の問題ですか?
はい。 この脆弱性は SSL 3.0 プロトコルの設計に存在し、Microsoft の実装に限定されません。
Suggested Actions (推奨されるアクション)
回避策を適用する
回避策は、基になる問題を修正しないが、セキュリティ更新プログラムが利用可能になる前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を参照します。
SSL 3.0 を無効にし、インターネット エクスプローラーで TLS 1.0、TLS 1.1、TLS 1.2 を有効にします
インターネット エクスプローラーで SSL 3.0 プロトコルを無効にするには、インターネット エクスプローラーの [セキュリティの詳細設定] を変更します。
HTTPS 要求に使用する既定のプロトコル バージョンを変更するには、次の手順を実行します。
- [インターネット エクスプローラー ツール] メニューの [インターネット][オプション] の順にクリックします。
- [ InternetOptions ] ダイアログ ボックスで、[ 詳細設定 ] タブをクリックします。
- [セキュリティ] カテゴリで、[UseSSL3.0] をオフにし、[USE TLS 1.0]、[Use TLS 1.1]、[Use TLS 1.2 (使用可能な場合)] のチェックします。
- メモ連続するバージョンをチェックすることが重要です。 連続するバージョン (TLS 1.0 と 1.2 のチェック、1.1 のチェックなど) を選択しないと、接続エラーが発生する可能性があります。
- [OK] をクリックします。
- Internet Explorer を終了して再起動します。
メモこの回避策を適用すると、インターネット エクスプローラーは、最大 3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、TLS 1.2 をサポートしていない Web サーバーに接続できません。
メモ: Microsoft Fix it ソリューションを使用してインターネット エクスプローラーのみで SSL 3.0 を無効にするには、Microsoft サポート技術情報の記事 3009008を参照してください。 回避策を元に戻す方法。 インターネット エクスプローラーで SSL 3.0 を有効にするには、次の手順に従います。
- [インターネット エクスプローラー ツール] メニューの [インターネット][オプション] の順にクリックします。
- [ InternetOptions ] ダイアログ ボックスで、[ 詳細設定 ] タブをクリックします。
- [セキュリティ] カテゴリで、[UseSSL3.0] をチェックします。
- [OK] をクリックします。
- Internet Explorer を終了して再起動します。
SSL 3.0 を無効にし、グループ ポリシーでインターネット エクスプローラーの TLS 1.0、TLS 1.1、TLS 1.2 を有効にします
グループ ポリシーを使用してインターネット エクスプローラーの SSL 3.0 プロトコルのサポートを無効にするには、[暗号化のサポートを無効にする] グループ ポリシー オブジェクトを変更します。
グループ ポリシーの管理を開きます。
変更するグループ ポリシー オブジェクトを選択し、右クリックして [編集] を選択 します。
グループ ポリシー管理エディターで、次の設定を参照します。
コンピューターの構成 -> 管理用テンプレート -> Windows コンポーネント -> インターネット エクスプローラー -> インターネット コントロール パネル - 詳細ページ ->> 暗号化のサポートを無効にする[ 暗号化のサポートを無効にする ] 設定をダブルクリックして、設定を編集します。
[ 有効] をクリックします。
[オプション] ウィンドウで、[セキュリティで保護されたプロトコルの組み合わせ] 設定を [TLS 1.0、TLS 1.1、TLS 1.2 を使用する] に変更します。
メモ連続するバージョンをチェックすることが重要です。 連続するバージョン (TLS 1.0 と 1.2 のチェック、1.1 のチェックなど) を選択しないと、接続エラーが発生する可能性があります。
[OK] をクリックします。
メモ 管理者は、GPO を環境内の適切な OU にリンクすることで、このグループ ポリシーが適切に適用されていることを確認する必要があります。
メモこの回避策を適用すると、インターネット エクスプローラーは、最大 3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、TLS 1.2 をサポートしていない Web サーバーに接続できません。
回避策を元に戻す方法。 SSL 3.0 ポリシー設定を無効にするには、次の手順に従います。
グループ ポリシーの管理を開きます。
変更するグループ ポリシー オブジェクトを選択し、右クリックして [編集] を選択 します。
グループ ポリシー管理エディターで、次の設定を参照します。
コンピューターの構成 -> 管理用テンプレート -> Windows コンポーネント -> インターネット エクスプローラー -> インターネット コントロール パネル - 詳細ページ ->> 暗号化のサポートを無効にする[ 暗号化のサポートを無効にする ] 設定をダブルクリックして、設定を編集します。
[ 無効] をクリックします。
[OK] をクリックします。
Windows で SSL 3.0 を無効にする
サーバー ソフトウェアの場合
次の手順に従って、Windows で SSL 3.0 プロトコルのサポートを無効にすることができます。
- [ スタート] ボタンをクリックし、[ 実行] をクリックし、「 regedt32 」と入力するか、「 regedit」と入力して、[OK] をクリック します。
- レジストリ エディターで、次のレジストリ キーを探します。
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
メモ完全なレジストリ キー パスが存在しない場合は、使用可能なキーを展開し、[編集] メニューの [新しいキー>] オプションを使用して作成できます。
- [ 編集 ] メニューの [ 追加][値] の順にクリックします。
- [ DataType ] ボックスの一覧で [ DWORD] をクリックします。
- [ ValueName ] ボックスに「 Enabled」と入力し、[OK] をクリック します。
メモ この値が存在する場合は、値をダブルクリックして現在の値を編集します。
- [ DWORD (32 ビット) 値の編集 ] ダイアログ ボックスで、「 0 」と入力します。
- [OK] をクリックします。 コンピューターを再起動します。
メモ この回避策により、システムにインストールされているすべてのサーバー ソフトウェア (IIS を含む) に対して SSL 3.0 が無効になります。
メモ この回避策を適用すると、SSL 3.0 のみに依存するクライアントはサーバーと通信できなくなります。
回避策を元に戻す方法。 Windows サーバー ソフトウェアで SSL 3.0 を無効にするには、次の手順に従います。
- レジストリ エディターを開きます。
- 次のレジストリ サブ キーを見つけてクリックします。
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
- [編集] メニューの [ 削除] をクリックします。
- メッセージが表示されたら [はい] をクリックします。
- レジストリ エディターを終了します。
- システムを再起動します。
クライアント ソフトウェアの場合
次の手順に従って、Windows で SSL 3.0 プロトコルのサポートを無効にすることができます。
- [ スタート] ボタンをクリックし、[ 実行] をクリックし、「 regedt32 」と入力するか、「 regedit」と入力して、[OK] をクリック します。
- レジストリ エディターで、次のレジストリ キーを探します。
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
メモ完全なレジストリ キー パスが存在しない場合は、使用可能なキーを展開し、[編集] メニューの [新しいキー>] オプションを使用して作成できます。
- [ 編集 ] メニューの [ 追加][値] の順にクリックします。
- [ DataType ] ボックスの一覧で [ DWORD] をクリックします。
- [ ValueName ] ボックスに「 Enabled」と入力し、[OK] をクリック します。
メモ この値が存在する場合は、値をダブルクリックして現在の値を編集します。
- [ DWORD (32 ビット) 値の編集 ] ダイアログ ボックスで、「 0 」と入力します。
- [OK] をクリックします。 コンピューターを再起動します。
メモ この回避策により、システムにインストールされているすべてのクライアント ソフトウェアに対して SSL 3.0 が無効になります。
メモ この回避策を適用すると、このマシン上のクライアント アプリケーションは、SSL 3.0 のみをサポートする他のサーバーと通信できなくなります。
回避策を元に戻す方法。 Windows クライアント ソフトウェアで SSL 3.0 を無効にするには、次の手順に従います。
- レジストリ エディターを開きます。
- 次のレジストリ サブ キーを見つけてクリックします。
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
- [編集] メニューの [ 削除] をクリックします。
- メッセージが表示されたら [はい] をクリックします。
- レジストリ エディターを終了します。
- システムを再起動します。
その他の推奨アクション
PC を保護する
引き続き、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する「コンピューターの保護」ガイダンスに従うことをお勧めします。 詳細については、「 Microsoft Safety & Security Center」を参照してください。
Microsoft ソフトウェアの更新を維持する
Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、 Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっており、Microsoft 製品の更新プログラムを提供するように構成されている場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。
謝辞
Microsoft は 、お客様を保護するために Microsoft と協力していただきありがとうございます。
- この問題に関する Google セキュリティ チーム の Bodo Möller
その他の情報
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に最新の保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、 Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。
フィードバック
- フィードバックを提供するには、Microsoft の [ヘルプとサポート] フォームの [カスタマー サービスにお問い合わせください] を入力します。
サポート
- 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 詳細については、「 Microsoft ヘルプとサポート」を参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、「 国際サポート」を参照してください。
- Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責情報
本アドバイザリで提供される情報は、いかなる種類の保証もなく「現状有姿」で提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接、間接、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害に対しても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。
リビジョン
- V1.0 (2014 年 10 月 14 日): アドバイザリが公開されました。
- V1.1 (2014 年 10 月 15 日): Windows で SSL 3.0 プロトコルを無効にする回避策を含むようにアドバイザリを改訂しました。
- V2.0 (2014 年 10 月 29 日): SSL 3.0 の廃止を発表し、Windows サーバーと Windows クライアントで SSL 3.0 を無効にする回避策の手順を明確にし、インターネット エクスプローラー用の Microsoft Fix it ソリューションの可用性を発表するためのアドバイザリを改訂しました。 詳細については、「 サポート技術情報の記事3009008」を参照してください。
- V2.1 (2014 年 12 月 9 日): Microsoft は、インターネット エクスプローラー 11 で SSL 3.0 フォールバック警告が利用可能であることを発表しています。 詳細については、「 サポート技術情報の記事の3013210」を参照してください。
- V2.2 (2015 年 2 月 10 日): Microsoft は、インターネット エクスプローラー 11 で SSL 3.0 フォールバック試行が既定で無効になっていることを発表しています。 詳細については、 Microsoft サポート技術情報の記事3021952を参照してください。
- V2.3 (2015 年 2 月 16 日): インターネット エクスプローラー 11 で SSL 3.0 を既定で無効にする予定日を発表するように勧告を改訂しました。
- V3.0 (2015 年 4 月 14 日) インターネット エクスプローラー 11 では、2015 年 4 月 14 日にセキュリティ更新プログラム 3038314 がリリースされたことをお知らせし、回避策を取り消す手順を追加するためのアドバイザリを改訂しました。
Page generated 2015-04-07 14:32Z-07:00。