先日（2014/10/14）、Google社から
SSL3.0の深刻な脆弱性「POODLE（Padding Oracle On Downgraded Legacy Encryption）」
についての発表がありました。

→　SSL 3.0 の脆弱性「POODLE 」とは？　※トレンドマイクロ社のサイトに移動します

「POODLE」は”プードル”と読みますが、
ワンちゃんのプードルと違って、かわいくないものです。

POODLEの脆弱性を突かれると
暗号化通信されている内容を解読されてしまいます。
例えば、普段利用しているサイトで
インターネットバンキングや会員登録、ショッピングをした際等に
パスワード等の個人情報を盗まれてしまう可能性があるわけです。

対策としては、次の２つがあります。
●サイトの運営者側がSSL3.0を無効化する
●利用するユーザー側がブラウザのSSL3.0を無効化する
サイト運営側が対応してくれていればよいのですが、
対策されてない場合に備えて、
ユーザー側でも無効化しておくと安心です。

でも、どうやって？

SSL3.0無効化の方法は
お使いのブラウザによって少し違いますが
次のような方法で可能です。

【Internet Explorer の場合】
１．[ツール] メニューの [インターネット オプション] をクリック
２．[インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリック
３．[セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェックを外し、
　　[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェックを付けた状態にする
４．[OK] をクリック
５．終了し、Internet Explorer を再起動。

【Google Chromeの場合】
１．Chromeの起動アイコンを右クリックし、[プロパティ]をクリック
２．プロパティ画面が表示されたら
　　[リンク先]欄の「・・・¥chrome.exe”」の直後に「 –ssl-version-min=tls1」
　　をコピー＆ペースト　※かぎかっこは不要です。
３．[OK] をクリック

４．[アクセス拒否]の画面が表示されたら[続行]をクリック

自分のパソコンに入っているブラウザが
SSL3.0無効化されているかどうか確認したい場合は
↓こちらのサイトにアクセスしてみましょう
POODLE Disabling SSLv3 Support in Browsers　　※外部サイトです
「Warning! 」と出たら、要注意です。
英文ですが、対策方法についても掲載されています。
参照して対策できると安心ですね。

Tweet