セキュリティ情報

情報処理推進機構、「SSL 3.0」プロトコルに存在する脆弱性対策について公開

情報処理推進機構は10月17日、「SSL 3.0」プロトコルに存在する脆弱性対策について公開した。

この脆弱性は、CVE-2014-3566で指摘されているもの。SSL 3.0プロトコルを利用した通信が、第三者に解読されてしまう危険があり、サーバ・クライアント間の通信においてSSL 3.0 プロトコルを使用している場合、通信の一部が第三者に漏えいする可能性がある。ただし、攻撃には複数の条件が必要であるため、ただちに悪用可能な脆弱性ではないという。サーバ管理者および利用者は対策の要否を検討し、必要に応じて対策を実施することが推奨されている。

対策としては、サーバもしくはクライアントのどちらか一方で、SSL 3.0を無効化することが挙げられている。なお、サーバ側でSSL 3.0を無効にすると一部のクライアントから接続ができなくなる可能性が、クライアント側で SSL 3.0を無効すると一部のサーバに接続できなくなる可能性が生じる。

SSL 3.0については、Firefoxが次期バージョンから無効化されることが発表されており、Google Chromeでも数カ月後にサポートを打ち切る予定になっている。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス