インターネット通信で使用する暗号化方式「SSL 3.0」の脆弱性について

2014年11月17日

インターネット通信で使用する暗号化方式「SSL 3.0」に脆弱性が発見され、「SSL 3.0」を使用している場合、通信の一部が第三者に漏えいする可能性があることが報告されています。
弊行のサイトは、この脆弱性の影響を受けない暗号化方式「TLS」に対応しておりますので、お客さまにおかれましては、「SSL 3.0」を無効にして「TLS」をご利用いただくことをおすすめします。
弊行ではお客さま情報の保護を第一に考え、通信の安全性を確保するため、SSL3.0を使った弊行ウェブサイト等へのアクセスを順次遮断させていただく予定です。

「SSL 3.0」の脆弱性については、独立行政法人 情報処理推進機構(IPA)のサイトでもご覧いただけます。

(抜粋)SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。

推奨する対応方法

1. Microsoft Internet Explorer の場合

Internet Explorer では、設定を変更することにより、「SSL 3.0」を無効にすることができます。
詳細はマイクロソフトのサイトでもご覧いただけます。

  • (1) Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
  • (2) [詳細設定] タブをクリックします。
  • (3) [セキュリティ] カテゴリで、[SSL 3.0 を使用する] のチェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、[TLS 1.2 の使用] のチェック ボックスをオンにします。
  • (4) [OK] をクリックします。
  • (5) Internet Explorer を終了し、再起動します。

2. Google Chrome の場合

  • (1) メニューの[設定]をクリックし、次に画面下部にある[詳細設定を表示]をクリックします。
  • (2) [ネットワーク]項目にある[プロキシ設定の変更]をクリックします。
  • (3) [インターネットのプロパティ]ダイアログボックスの[詳細設定]タブをクリックします。
  • (4) [セキュリティ]カテゴリで、[SSL3.0を使用する]のチェックボックスをオフにし、[TLS1.0を使用する]、[TSL1.1の使用]、および[TLS1.2の使用]のチェックボックスをオンにします。
  • (5) [適用]をクリックし、次に[OK]をクリックします。

3. Apple社製品 の場合

OS X 10.8、OS X 10.9 をご利用の場合は、セキュリティアップデート2014-005をインストールすることにより、「SSL 3.0」の脆弱性を回避することができます。