先日(2014/10/14)、Google社から
SSL3.0の深刻な脆弱性「POODLE(Padding Oracle On Downgraded Legacy Encryption)」
についての発表がありました。
→ SSL 3.0 の脆弱性「POODLE 」とは? ※トレンドマイクロ社のサイトに移動します
「POODLE」は”プードル”と読みますが、
ワンちゃんのプードルと違って、かわいくないものです。
POODLEの脆弱性を突かれると
暗号化通信されている内容を解読されてしまいます。
例えば、普段利用しているサイトで
インターネットバンキングや会員登録、ショッピングをした際等に
パスワード等の個人情報を盗まれてしまう可能性があるわけです。
対策としては、次の2つがあります。
●サイトの運営者側がSSL3.0を無効化する
●利用するユーザー側がブラウザのSSL3.0を無効化する
サイト運営側が対応してくれていればよいのですが、
対策されてない場合に備えて、
ユーザー側でも無効化しておくと安心です。
でも、どうやって?
SSL3.0無効化の方法は
お使いのブラウザによって少し違いますが
次のような方法で可能です。
【Internet Explorer の場合】
1.[ツール] メニューの [インターネット オプション] をクリック
2.[インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリック
3.[セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェックを外し、
[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェックを付けた状態にする
4.[OK] をクリック
5.終了し、Internet Explorer を再起動。
【Google Chromeの場合】
1.Chromeの起動アイコンを右クリックし、[プロパティ]をクリック
2.プロパティ画面が表示されたら
[リンク先]欄の「・・・¥chrome.exe”」の直後に「 –ssl-version-min=tls1」
をコピー&ペースト ※かぎかっこは不要です。
3.[OK] をクリック
4.[アクセス拒否]の画面が表示されたら[続行]をクリック
自分のパソコンに入っているブラウザが
SSL3.0無効化されているかどうか確認したい場合は
↓こちらのサイトにアクセスしてみましょう
POODLE Disabling SSLv3 Support in Browsers ※外部サイトです
「Warning! 」と出たら、要注意です。
英文ですが、対策方法についても掲載されています。
参照して対策できると安心ですね。