■概要と影響
SSL3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。
そのため、InfoCage PC検疫において、以下の両条件を満たしている場合、通信の一部が
第三者に漏えいする可能性があります。
・監査Webサーバにて、SSL3.0を利用している。
本脆弱性を利用した攻撃をするためには、中間者攻撃や、攻撃対象サーバに大量の通信を
発生させるなど、一定の条件を満たす必要があるため、直ちに悪用可能な脆弱性ではありません。
対策の要否をご検討いただき、必要に応じて対策を実施願います。
■対策
監査Webサーバにて、SSL3.0を無効化することにより対策可能です。
マイクロソフト社から、Windows OSでSSL3.0を無効化する方法が公開されています。
以下のURLの「WindowsでSSL3.0を無効にする」以降を実施してください。
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
※SSL3.0を無効化することで、一部のサーバやクライアントから接続が
できなくなる可能性がございます。
この場合、現象が発生したサーバ環境/クライアント環境において、
Internet ExplorerのTLS1.xプロトコルが有効になっているかご確認ください。
※なお、IEの設定を変更することにより、クライアント側でSSL3.0を無効化
することも可能ですが、InfoCage PC検疫に接続する全クライアントにて
設定が必要となるため、監査Webサーバ側でSSL3.0を無効化することを
推奨いたします。