■概要と影響
SSL3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。
そのため、LogSCADEにおいて、以下の機能を利用する場合において、通信の一部が第三者に漏えいする可能性があります。
・WebGUIへのアクセスをHTTPSに設定している場合
・LogSCADEエージェントとLogSCADEサーバ間をSFTP通信に設定している場合
本脆弱性を利用した攻撃をするためには、中間者攻撃や、攻撃対象サーバに大量の通信を発生させるなど、一定の条件を満たす必要があるため、直ちに悪用可能な脆弱性ではありません。
対策の要否をご検討いただき、必要に応じて対策を実施願います。
■対策
LogSCADEを運用しているサーバにて、SSL3.0を無効化することにより対策可能です。
マイクロソフト社から、Windows OSでSSL3.0を無効化する方法が公開されています。
以下のURLの「WindowsでSSL3.0を無効にする」以降を実施してください。
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
※SSL3.0を無効化することで、一部のクライアントから接続が
できなくなる可能性がございます。
※なお、IEの設定を変更することにより、クライアント側でSSL3.0を無効化することも
可能ですが、LogSCADEに接続する全クライアントにて設定が必要となるため、
サーバ側でSSL3.0を無効化することを推奨いたします。