【重要】「SSL v3」の脆弱性に関する注意喚起

2014.10.21

TCP/IPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ、SSL（Secure Sockets Layer）の
SSL v3 プロトコルにおいて、暗号化データを解読される脆弱性が発見されました。

本件は、IT関連のセキュリティ情報発信などを行うJVNより注意喚起として報告されています。

• JVN#98283300
  SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
  http://jvn.jp/vu/JVNVU98283300/

概要

SSL v3 をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性が懸念されます。

該当する弊社製品およびサービス

Active! mail,Active! hunter, Active! gate, Active! vault, Active! prime,Active! world,Active! gate SS,
Active! vault SS

Active! mailの対策方法について

Active! mailではSSL v3は使用しておりませんが、Active! mailの利用環境のApacheでHTTPS通信を使用しSSLv3をご利用の場合には影響がある可能性がございます。

ApacheのHTTPS通信の設定に関しましてはシステム側となりますため、大変お手数ではございますが、HTTPS通信の利用の有無や、SSLのバージョンが該当するかを独自にご確認いただき、必要がある場合にはOSのサポート側が推奨する対応を行っていただきますようお願いします。

尚、上述の通りお客様の利用環境に依存しますため、弊社からは具体的な対策方法につきましてはご案内しておりませんが、SSL v3の無効化を行う場合には、Apacheとブラウザ間の通信が確立できればActive! mailの動作と致しましては特に問題はございません。

その他の製品・サービスの対策方法について

Active! mail以外の製品(Active! hunter, Active! gate, Active! vault, Active! prime,Active! world,Active! gate SS,Active! vault SS)につきましては、各製品のウェブ画面のご利用においてHTTPSでご利用いただいている場合、ブラウザ側の設定によりSSL v3を使用しない設定にて、本脆弱性の問題について回避可能です。

尚、サーバ側にてSSL v3の無効化が必要な場合、手順についてご案内させていただく事も可能ですので、保守契約書に記載の弊社サポートセンターまでお問い合わせいただきますようお願いいたします。

また、該当するサービスにおきましても前述同様、ブラウザ側の設定にて回避くださいますようお願いいたします。

以上、よろしくお願いいたします。