画面●Internet Explorerにおける「SSL 3.0」の設定
画面●Internet Explorerにおける「SSL 3.0」の設定
[画像のクリックで拡大表示]

 米マイクロソフトは米国時間2015年2月10日、Internet Explorer 11(IE11)のSSL(Secure Sockets Layer) 3.0を同4月14日に無効にする予定であることを明らかにした。

 SSL 3.0には、情報漏洩の脆弱性があることが指摘されている(関連記事)。「POODLE」と名付けられた脆弱性を突かれると、SSLによって暗号化された通信の一部を解読される恐れがある。

 POODLEは特定の製品の脆弱性ではなく、SSL 3.0というプロトコルの脆弱性である。このためSSL 3.0に対応したWebブラウザーなどのベンダーや、Webサイトの運営企業などは、対応をやめることなどを表明している。

 日本マイクロソフトでは2014年10月に、「セキュリティアドバイザリ」でこの脆弱性を警告。IEにおいてSSL 3.0を無効にするための設定方法などを紹介した(画面)。その後、SSL 3.0を無効にするためのプログラム「Fix itソリューション」を公開している。

 2014年12月には、TLS(Transport Layer Security)1.0以降での通信中、SSL 3.0に切り替えられた場合(フォールバックされた場合)に警告が表示されるようにするIE11向けの更新プログラムを公開。2015年2月には、IE11のSSL 3.0フォールバックを既定で無効にする更新プログラムを公開した。この更新プログラムは自動更新機能で配信される。

 そして同更新プログラムの公開に併せて、IE11のSSL 3.0そのものを既定で無効にする予定であることを明らかにした。米国時間4月14日には、今回と同じように、自動更新機能を通じて設定変更のための更新プログラムを配信すると考えられる。

 同社では、配信予定の更新プログラムを待つことなく、手動による設定変更やFix itソリューションなどで、SSL 3.0を無効にすることを勧めている。

[米マイクロソフトの情報]