SSL 3.0の脆弱性POODLEに対するセキュリティに関して – ProofHQ

グーグルの調査員が POODLE と呼ばれるインターネット攻撃についての発見を最近報告しました。これは、SSL 接続を介して暗号化された情報でも、悪意のある人物によって読み取られる可能性があるという重大な脆弱性を指しています。 ProofHQ につきましては、この脆弱性の影響はありませんので、ご安心ください。一方で、この問題を深刻に受け止め、以下の対策をとります。またユーザー様自身を保護するために役立つステップも提供させていただきます。

今後の SSLv3 の脆弱性を避けるために ProofHQ がとる対策：

2015年1月2日午前2:00（PDT 1月1日午前10:00）に ProofHQ プラットフォーム間での SSLv3 を無効にします
ProofHQ に関連する潜在的な攻撃のための監視を継続します
ProofHQ に関連する潜在的な攻撃を監視し続けるために、ProofHQ 内部およびサードパーティの脅威に対するインテリジェンス機能の両方を利用します
いかなる脆弱の可能性にも定期的な走査とインフラの監視を続けます

今後の SSLv3 の脆弱性をユーザー様自身が回避するためのステップ：

ブラウザを最新バージョンへアップデートしてください。Internet Explorer 6 をご利用であれば、以下のより新しいサポートされているブラウザへ移行してください：
- IE7 以降
- Firefox 1.0 以降
- Chrome 1.0 以降
OpenSSL ライブラリ（API ユーザー用）をアップグレードしてください：
- OpenSSL 1.0.1 ユーザーは 1.0.1j へ
- OpenSSL 1.0.0 ユーザーは 1.0.0o へ
- OpenSSL 0.9.8 ユーザーは 0.9.8zc へ
Qualys SSL Labs の SSL Client Test を使用してご自身のブラウザの脆弱性をチェックしてください。そのページ上にあるプロトコルセクションの SSLv3 に赤い “Yes” があるか確認してください。
以下の設定を変更しブラウザを再起動することで、ブラウザ内で SSLv3 サポートを無効にします：
- Mozilla Firefox
  - ロケーションバー（アドレスバー）に about:config と入力しEnter を押してプリファレンスリストを表示させ、security.tls.version.min を見つけて値を1に設定します
- Google Chrome
  - 新しいバージョンの Chrome ではこの問題を緩和する TLS_FALLBACK_SCSV をサポートしています
  - コマンドラインコマンド –ssl-version-min=tls1 を発行することにより SSLv3 サポートを無効にできます。コマンドラインフラッグを使用する詳しい説明はこちらで確認できます
- Internet Explorer
  - “インターネットオプション”の”詳細設定”で SSLv3 のチェックを外します
Internet Explorer 6 のような古いブラウザはサポート外ということを ProofHQ のエンドユーザーにお知らせしてください
外部のサードパーティがこの重大な問題を知っていて緩和対策を実行しているか確認してください。
Tinfoil Security や SSL Labs のようなツールを利用してインフラの脆弱性を走査してください。
この問題を理解しましょう。このブログ投稿では脆弱性に関する詳しい情報を提供しています。
ユーザー様のデバイスに接続するためにメールを送信してくるフィッシング詐欺に気をつけてください。
怪しいリンクをクリックしないでください。