日本マイクロソフトは2014年10月30日、インターネット通信を暗号化するプロトコル「SSL 3.0」のセキュリティ脆弱性(通称「POODLE」)に対応するため、Internet Explorerの設定を自動変更するプログラム(Fix it)の配布を開始した。このFix itを利用すると、SSL 3.0に対応したWebサイトに接続できないようにInternet Explorerの設定を自動変更できる。
POODLE脆弱性を悪用すると、暗号化されているはずの通信の一部を第三者に解読される可能性がある。ただし、実際に解読するには様々な条件がそろう必要がある。マイクロソフトは現時点では高い危険性があるわけではないとみている。
POODLE脆弱性に対する抜本的な対応策は、策定から20年近くが経過して古いプロトコルになっているSSL 3.0の利用をやめて、より新しい暗号化プロトコルを使うことである。今回公開されたFix itはSSL 3.0を無効化するプログラムを含んでいる。Fix itを使わずに手動で設定変更することも可能(画面)。これらの対策で脆弱性は回避できるが、SSL 3.0を使って提供されている一部のWebサイトやインターネットサービスには接続できなくなる可能性がある。
サービス提供側の対応も必要に
POODLE脆弱性はマイクロソフト製品に固有の問題ではない。SSL 3.0を実装しているすべてのWebブラウザーやアプリケーションソフト、サーバーソフトウエアに影響が及ぶ。
Webブラウザー提供者は相次いでSSL 3.0対応を打ち切る方向で動いている。Webブラウザー「Firefox」を提供する米モジラは、次期バージョンからSSL 3.0無効を標準設定にすると発表。マイクロソフトと同様に現行バージョンでSSL 3.0を無効化するプログラムの提供も始めた。Webブラウザー「Chrome」を提供する米グーグルは、数カ月後にはSSL 3.0対応を完全に打ち切ると発表している。
ネットサービスの提供者が自社のサービスでSSL 3.0を使ったサービスを提供している場合は、今後各種Webブラウザーから利用できなくなる可能性がある。情報処理推進機構(IPA)は、サービス提供者に向けて、サーバーソフトウエアでSSL 3.0を無効化するよう呼びかけている。
なお、日経BP社は2014年10月28日に、各種デジタルサービスにおけるSSL 3.0利用を順次停止すると発表している。
[日本マイクロソフトの発表資料]
[情報処理推進機構の発表資料]
[日経BP社からのお知らせ]
