SSL3.0 (SSL暗号化通信)脆弱性注意喚起のお知らせ
2014(平成26)年10月 吉日
株式会社イーネットソリューションズ
本ご案内は、Safetylink24をご利用中で、SSL証明書オプションをご利用中のお客様向けへ、重要なお知らせとしてご案内しております。
※対策実施可否については今週よりお客様ごとに、順次ご連絡させて頂きますので何卒よろしくお願いいたします。
※ご利用のURLが「http://」で始まるお客様には影響はございません。
2014年10月14日にSSLv3 プロトコルに暗号化データを解読される脆弱性『POODLE 攻撃:CVE-2014-3566』が公表されました。
本脆弱性の詳細につきましては下記の通りとなっております。
概要
HTTPS(暗号化)の通信においてクライアント(PC、携帯端末等)が”SSL3.0”を利用している場合、悪意のある第三者により、暗号化されているHTTPSの通信の内容を解読される可能性がございます。
(参考)
http://jvn.jp/vu/JVNVU98283300/
対応策
Safetylink24システム側で”SSL3.0”を利用したHTTPSの通信を無効にすることで本脆弱性の対応を行うことを強く推奨いたします。
※実施は弊社で行いますのでお客様側の作業はございません
ただし、本対策を行うことで下記の通り一部のお客様でご利用のブラウザ(端末)ではSafetylink24システムへの接続ができなくなる可能性がございます。
そのため本対策の実施可否につきましてはお客様と協議の上、対策方法を決定させて頂きたいと存じます。
対応策を実施した場合のリスク・影響につきまして
一部のWEBブラウザ(PC、携帯端末含む)ではTLS方式をサポートしていないものがあるとの情報を確認しております。
TLS方式をサポートしていないWEBブラウザを利用しており、上記対応策を実施した場合、サポートされていないブラウザからSafetylink24システムが閲覧不可となるリスクがございます。
弊社にてTLSをサポートしておらず閲覧不可となる可能性がある利用環境情報をご案内いたします。
【対応した場合、影響が発生する携帯】
- auのezweb携帯(フューチャーフォン)
- docomoの2009年3月までに発売されたimode携帯
<2014年10月21日 追加情報>
※au社のezweb携帯につきましては、2012年5月24日以降にケータイアップデートされていた場合にはTLS(1.0)対応しているとの情報がございますので、閲覧が可能となります。
ケータイアップデートの詳細情報につきましては下記URLをご参照ください。
http://www.au.kddi.com/information/notice_mobile/update/update-20120524-01.html
【影響が発生しないモバイル機器】
- SoftBank製品 全端末
- スマートフォン全般
(※2014年10月16日確認時点)
※主要なWEBブラウザ(IE,FireFox,Chrome,Opera等)では、最新バージョンをご利用の場合、問題がないことを確認しております。
各ブラウザでサポート継続中のバージョンにつきましても、問題がないことを確認しておりますが、サポート終了のバージョンにつきましてはTLSをサポートしていないブラウザもございます。
本リリースに関するお問い合わせ
本件につきご不明な点などございましたら、サポートセンターまたは担当営業までご連絡ください。
イーネットソリューションズ サポートセンター
電話:0120-65-5058