マイクロソフト セキュリティ アドバイザリ 3009008

SSL 3.0 の脆弱性により、情報漏えいが起こる

公開日: 2014 年 10 月 14 日 |更新日: 2015 年 4 月 14 日

バージョン: 3.0

一般情報

概要

Microsoft は、SSL 3.0 の脆弱性を悪用する新しい方法を説明する詳細な情報が公開されていることを認識しています。 これは SSL 3.0 プロトコル自体に影響を与える業界全体の脆弱性であり、Windows オペレーティング システムに固有のものではありません。 サポートされているすべてのバージョンの Microsoft Windows では、このプロトコルが実装されており、この脆弱性の影響を受ける可能性があります。 現時点では、報告された脆弱性を使用しようとする攻撃は認識されていません。 攻撃シナリオを考慮すると、この脆弱性はお客様にとって高いリスクとは見なされません。

Microsoft Active Protections Program (MAPP) のパートナーと積極的に協力して、より広範な保護を顧客に提供するために使用できる情報を提供しています。

Microsoft は、2015 年 4 月 14 日にセキュリティ更新プログラム 3038314 のリリースにより、インターネット エクスプローラー 11 で SSL 3.0 が既定で無効になっていることを発表しています。 Microsoft は、今後数か月間に Microsoft オンライン サービス全体で SSL 3.0 が無効になることも発表しています。 TLS 1.0、TLS 1.1、TLS 1.2 などのより安全なセキュリティ プロトコルにクライアントとサービスを移行することをお勧めします。

軽減要因:

  • 攻撃者は、攻撃が成功する前に数百の HTTPS 要求を行う必要があります。
  • TLS 1.0、TLS 1.1、TLS 1.2、および CBC モードを使用しないすべての暗号スイートは影響を受けません。

推奨。 SSL 3.0 を 無効にする回避策については、このアドバイザリの「推奨されるアクション」 セクションを参照してください。 Microsoft では、これらの回避策を使用して、SSL 3.0 の使用に関するクライアントとサービスをテストし、それに応じて移行を開始することをお勧めします。

アドバイザリの詳細

問題のリファレンス

この問題の詳細については、次のリファレンスを参照してください。

参考文献 [識別]
サポート技術情報の記事 3009008
CVE リファレンス CVE-2014-3566 

影響を受けるソフトウェア

このアドバイザリでは、次のソフトウェアについて説明します。

影響を受けるソフトウェア

|**オペレーティング システム**| |------------| |Windows Server 2003 Service Pack 2| |Windows Server 2003 x64 Edition Service Pack 2| |Itanium ベース システム用 Windows Server 2003 SP2 | |Windows Vista Service Pack 2| |Windows Vista x64 Edition Service Pack 2| |Windows Server 2008 for 32-bit Systems Service Pack 2| |x64 ベース システム Service Pack 2 用 Windows Server 2008| |Windows Server 2008 for Itanium ベースのシステム Service Pack 2| |Windows 7 for 32 ビット システム Service Pack 1| |Windows 7 for x64 ベースシステム Service Pack 1| |x64 ベース システム Service Pack 1 用 Windows Server 2008 R2 | |Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1| |32 ビット システム向け Windows 8| |x64 ベース システム用 Windows 8| |Windows 8.1 for 32 ビット システム| |x64 ベース システム用 Windows 8.1| |Windows Server 2012| |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |**Server Core インストール オプション**| |Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール)| |x64 ベースシステム Service Pack 2 用 Windows Server 2008 (Server Core インストール)| |x64 ベースシステム Service Pack 1 用 Windows Server 2008 R2 (Server Core インストール)| |Windows Server 2012 (Server Core のインストール)| |Windows Server 2012 R2 (Server Core のインストール)|

 

アドバイザリに関する FAQ


私は11以外のインターネットエクスプローラーのバージョンを使用しています。 この脆弱性からシステムを保護するにはどうすればよいですか?
SSL 3.0 は、サポートされているすべてのエディションの Microsoft Windows のインターネット エクスプローラー 11 でのみ無効になっています。 別のバージョンのインターネット エクスプローラーを使用している場合は、「推奨される回避策」セクションを参照して、この脆弱性から保護するためにシステムに適用できる回避策を確認してください。

アドバイザリの範囲は何ですか?
このアドバイザリの目的は、SSL 3.0 に影響を与える脆弱性を悪用する新しい方法を説明する詳細情報を Microsoft が認識していることをお客様に通知することです。 この脆弱性は、情報漏えいの脆弱性です。

攻撃者がこの脆弱性を悪用する方法
中間者 (MiTM) 攻撃では、攻撃者は暗号化された TLS セッションをダウングレードし、クライアントに SSL 3.0 の使用を強制した後、ブラウザーに悪意のあるコードを強制的に実行させる可能性があります。 このコードは、以前に認証されたセッションが存在する場合に Cookie が自動的に送信される、複数の要求をターゲット HTTPS Web サイトに送信します。 これは、この脆弱性を悪用するために必要な条件です。 その後、攻撃者はこの HTTPS トラフィックを傍受し、SSL 3.0 の CBC ブロック暗号の弱点を悪用することで、暗号化されたトラフィックの一部 (認証 Cookie など) を復号化する可能性があります。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、暗号化されたトラフィックの一部を復号化する可能性があります。

この脆弱性の原因は何ですか?
この脆弱性は、SSL 3.0 での CBC ブロック暗号パディング検証の欠如が原因で発生します。

SSL とは
Secure Sockets Layer (SSL) は、インターネット経由で通信セキュリティを提供する暗号化プロトコルです。 SSL は、プライバシーのための暗号化とメッセージの信頼性のためのキー付きメッセージ認証コードを使用して、ネットワーク経由で転送されるデータを暗号化します。

TLS とは
トランスポート層セキュリティ (TLS) は、インターネットまたはイントラネット上でセキュリティで保護された Web 通信を提供するために使用される標準プロトコルです。 これにより、クライアントはサーバーを認証したり、必要に応じてサーバーを認証したりできます。 また、通信を暗号化することで、セキュリティで保護されたチャネルを提供します。 TLS は、Secure Sockets Layer (SSL) プロトコルの最新バージョンです。

TLS はこの問題の影響を受けますか?
いいえ。 この問題は SSL 3.0 に固有です。

これは業界全体の問題ですか?
はい。 この脆弱性は SSL 3.0 プロトコルの設計に存在し、Microsoft の実装に限定されるものではありません。

推奨されるアクション

回避策の適用

回避策は、基になる問題を修正しないが、セキュリティ更新プログラムが利用可能になる前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。

  • SSL 3.0 を無効にし、インターネット エクスプローラーで TLS 1.0、TLS 1.1、TLS 1.2 を有効にする

    インターネット エクスプローラーで SSL 3.0 プロトコルを無効にするには、インターネット エクスプローラーの [セキュリティの詳細設定] を変更します。

    HTTPS 要求に使用する既定のプロトコル バージョンを変更するには、次の手順を実行します。

    1. [インターネット エクスプローラー ツール] メニューの [InternetOptions] をクリックします
    2. [InternetOptions] ダイアログ ボックスで、[詳細設定] タブをクリックします。
    3. [セキュリティ] カテゴリでチェック UseSSL3.0 と チェック TLS 1.0 の使用、TLS 1.1 の使用、TLS 1.2 の使用 (使用可能な場合) を解除します。
    4. : 連続するバージョンをチェックすることが重要です。 連続するバージョン (たとえば、TLS 1.0 と 1.2 をチェック、1.1 をチェックしない) を選択しないと、接続エラーが発生する可能性があります。
    5. OK をクリックします。
    6. Internet Explorer を終了して再起動します。

    注: この回避策を適用すると、インターネット エクスプローラーは、最大 3.0 の SSL のみをサポートし、TLS 1.0、TLS 1.1、TLS 1.2 をサポートしていない Web サーバーへの接続に失敗します。 

    注意:
    自動化された Microsoft Fix it ソリューションを使用してインターネット エクスプローラーでのみ SSL 3.0 を無効にする場合は、Microsoft サポート技術情報の記事3009008を参照してください

    回避策を元に戻す方法。 インターネット エクスプローラーで SSL 3.0 を有効にするには、次の手順に従います。

    1. [インターネット エクスプローラー ツール] メニューの [InternetOptions] をクリックします
    2. [InternetOptions] ダイアログ ボックスで、[詳細設定] タブをクリックします。
    3. [セキュリティ] カテゴリで、[UseSSL3.0] をチェックします。
    4. OK をクリックします。
    5. Internet Explorer を終了して再起動します。
  • SSL 3.0 を無効にし、グループ ポリシーでインターネット エクスプローラーに対して TLS 1.0、TLS 1.1、TLS 1.2 を有効にする

    [暗号化のサポートを無効にする] グループ ポリシー オブジェクトを変更することで、グループ ポリシーを使用して、インターネット エクスプローラーで SSL 3.0 プロトコルのサポートを無効にすることができます。

    1. [グループ ポリシー管理] を開きます。

    2. 変更するグループ ポリシー オブジェクトを選択し、右クリックして [編集] を選択 します。

    3. グループ ポリシー管理エディターで、次の設定を参照します。
      コンピューターの構成 -> 管理テンプレート -> Windows コンポーネント -> インターネット エクスプローラー -> インターネット コントロール パネル - 詳細ページ ->> 暗号化のサポートを無効にする

    4. [暗号化のサポートを無効にする] 設定をダブルクリックして、設定を編集します。

    5. [Enabled](有効) をクリックします。

    6. [オプション] ウィンドウで、[セキュリティで保護されたプロトコルの組み合わせ] 設定を [TLS 1.0、TLS 1.1、TLS 1.2 を使用する] に変更します。

    7. : 連続するバージョンをチェックすることが重要です。 連続するバージョン (たとえば、TLS 1.0 と 1.2 をチェック、1.1 をチェックしない) を選択しないと、接続エラーが発生する可能性があります。

    8. OK をクリックします。

      管理管理者は、GPO を環境内の適切な OU にリンクすることで、このグループ ポリシーが適切に適用されていることを確認する必要があります。

    注: この回避策を適用すると、インターネット エクスプローラーは、最大 3.0 の SSL のみをサポートし、TLS 1.0、TLS 1.1、TLS 1.2 をサポートしていない Web サーバーへの接続に失敗します。 

    回避策を元に戻す方法。 SSL 3.0 ポリシー設定を無効にするには、次の手順に従います。

    1. [グループ ポリシー管理] を開きます。

    2. 変更するグループ ポリシー オブジェクトを選択し、右クリックして [編集] を選択 します。

    3. グループ ポリシー管理エディターで、次の設定を参照します。
      コンピューターの構成 -> 管理テンプレート -> Windows コンポーネント -> インターネット エクスプローラー -> インターネット コントロール パネル - 詳細ページ ->> 暗号化のサポートを無効にする

    4. [暗号化のサポートを無効にする] 設定をダブルクリックして、設定を編集します。

    5. [無効] をクリックします

    6. OK をクリックします。

  • Windows で SSL 3.0 を無効にする

    サーバー ソフトウェアの場合

    次の手順に従って、Windows で SSL 3.0 プロトコルのサポートを無効にすることができます。

    1. [スタート] をクリックし、[実行] をクリックし、「regedt32」と入力するか、「regedit」と入力して、[OK] をクリックします
    2. レジストリ エディターで、次のレジストリ キーを探します。

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    注: 完全なレジストリ キー パスが存在しない場合は、使用可能なキーを展開し、[編集] メニューの [新しいキー>] オプションを使用して作成できます。

    1. [編集] メニューの [AddValue] をクリックします
    2. [DataType] の一覧で [DWORD] をクリックします
    3. [ValueName] ボックスに「Enabled」と入力し、[OK] をクリックします 

    注: この値が存在する場合は、値をダブルクリックして現在の値を編集します。

    1. [DWORD (32 ビット) 値編集] ダイアログ ボックスで、「0」と入力します。
    2. OK をクリックします。 コンピューターを再起動します。

     

    注: この回避策では、IIS を含むシステムにインストールされているすべてのサーバー ソフトウェアに対して SSL 3.0 が無効になります。

    : この回避策を適用すると、SSL 3.0 のみに依存するクライアントはサーバーと通信できなくなります。

    回避策を元に戻す方法。 Windows Server ソフトウェアで SSL 3.0 を無効にするには、次の手順に従います。

    1. レジストリ エディターを開きます。
    2. 次のレジストリ サブ キーを見つけてクリックします。

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    1. [編集] メニューの [削除] をクリックします
    2. メッセージが表示されたら [はい] をクリックします。
    3. レジストリ エディターを終了します。
    4. システムを再起動します。

    クライアント ソフトウェアの場合

    次の手順に従って、Windows で SSL 3.0 プロトコルのサポートを無効にすることができます。

    1. [スタート] をクリックし、[実行] をクリックし、「regedt32」と入力するか、「regedit」と入力して、[OK] をクリックします
    2. レジストリ エディターで、次のレジストリ キーを探します。

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    注: 完全なレジストリ キー パスが存在しない場合は、使用可能なキーを展開し、[編集] メニューの [新しいキー>] オプションを使用して作成できます。

    1. [編集] メニューの [AddValue] をクリックします
    2. [DataType] の一覧で [DWORD] をクリックします
    3. [ValueName] ボックスに「Enabled」と入力し、[OK] をクリックします 

    注: この値が存在する場合は、値をダブルクリックして現在の値を編集します。

    1. [DWORD (32 ビット) 値編集] ダイアログ ボックスで、「0」と入力します。
    2. OK をクリックします。 コンピューターを再起動します。

     

    注: この回避策では、システムにインストールされているすべてのクライアント ソフトウェアに対して SSL 3.0 が無効になります。

    : この回避策を適用すると、このマシン上のクライアント アプリケーションは、SSL 3.0 のみをサポートする他のサーバーと通信できなくなります。

    回避策を元に戻す方法。 Windows クライアント ソフトウェアで SSL 3.0 を無効にするには、次の手順に従います。

    1. レジストリ エディターを開きます。
    2. 次のレジストリ サブ キーを見つけてクリックします。

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    1. [編集] メニューの [削除] をクリックします
    2. メッセージが表示されたら [はい] をクリックします。
    3. レジストリ エディターを終了します。
    4. システムを再起動します。

その他の推奨されるアクション

  • PC を保護する

    ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 詳細については、「Microsoft セーフty & Security Center」を参照してください

  • Microsoft ソフトウェアを最新の状態に保つ

    Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新を有効にして、Microsoft 製品の更新プログラムを提供するように構成している場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

謝辞

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

  • この問題に関する Google セキュリティ チームBodo Möller

その他の情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 詳細については、国際サポートを参照してください。
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2014 年 10 月 14 日): アドバイザリが公開されました。
  • V1.1 (2014 年 10 月 15 日): Windows で SSL 3.0 プロトコルを無効にするための回避策を含むようにアドバイザリを改訂しました。
  • V2.0 (2014 年 10 月 29 日): SSL 3.0 の廃止を発表し、Windows サーバーと Windows クライアントで SSL 3.0 を無効にするための回避策の手順を明確にし、インターネット エクスプローラー用の Microsoft Fix it ソリューションの可用性を発表するようにアドバイザリを改訂しました。 詳細については、サポート技術情報の記事の3009008を参照してください
  • V2.1 (2014 年 12 月 9 日): Microsoft は、インターネット エクスプローラー 11 で SSL 3.0 フォールバック警告が利用可能であることを発表しています。 詳細については、サポート技術情報の記事の3013210を参照してください
  • V2.2 (2015 年 2 月 10 日): Microsoft は、インターネット エクスプローラー 11 で SSL 3.0 フォールバック試行が既定で無効になっていることを発表しています。 詳細については、マイクロソフト サポート技術情報の記事3021952を参照してください。
  • V2.3 (2015 年 2 月 16 日): インターネット エクスプローラー 11 で SSL 3.0 を既定で無効にする予定日を発表するように勧告を改訂しました。
  • V3.0 (2015 年 4 月 14 日) インターネット エクスプローラー 11 では、2015 年 4 月 14 日の SSL 3.0 のセキュリティ更新プログラム 3038314 のリリースに関するお知らせと、回避策を元に戻す方法の手順を追加するように、改訂されたアドバイザリが既定で無効になっています。

Page generated 2015-04-07 14:32Z-07:00.