■概要と影響
SSL3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。
そのため、InfoCageモバイル防御の管理サーバにおいて、以下の条件を満たしている場合、通信の一部が第三者に漏えいする可能性があります。
・InfoCageモバイル防御の管理サーバにて使用するIISにて、SSL3.0を利用されている
本脆弱性を利用した攻撃をするためには、中間者攻撃や、攻撃対象サーバに大量の通信を発生させるなど、一定の条件を満たす必要があるため、直ちに悪用可能な脆弱性ではありません。
対策の要否をご検討いただき、必要に応じて対策を実施願います。
■対策
InfoCageモバイル防御の管理サーバにて、SSL3.0を無効化することにより対策可能です。
マイクロソフト社から、Windows OSでSSL3.0を無効化する方法が公開されています。
下記URLの「WindowsでSSL3.0を無効にする」以降を実施してください。
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
※SSL3.0を無効化することで、以下の問題が発生する可能性がございます。
・クライアント環境から「モバイル防御 管理サーバ」に対して、接続不可となる。
・管理サーバ環境上の「管理者ユーティリティ」から「データベース」に接続不可となる。
この場合、現象が発生したサーバ環境/クライアント環境において、Internet ExplorerのTLS1.xプロトコルが有効になっているか、ご確認ください。
■商標
MicrosoftおよびWindowsは米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
InfoCageは日本電気株式会社の登録商標です。
その他、記載されている会社名、商品名は各社の商標または登録商標です。