【重要】SSL 3.0の脆弱性(POODLE攻撃)の
対策について

2014年10月28日
株式会社ASJ

お客様各位

 平素よりASJペイメントサービスをご利用いただきまして、ありがとうございます。

 2014年10月16日より、SSL通信の特定のプロトコルバージョン「SSL 3.0(SSLv3)」において通信内容を読み取られる危険性や脆弱性があるとして、JPCERTコーディネーションセンター(JPCERT/CC)をはじめとする各種セキュリティ機関から注意喚起が広く行われております。

 弊社ではこの発表直後から担当部署が、該当の脆弱性について、サーバ側における複数の対策手法などを検証、クライアント側(ブラウザソフトなど)の対策状況の把握、そしてサーバ側における対策の世界的な動向などの収集を行ってきました。世界的な対策状況や、サーバ側での対策についてお客様から多くのご要望をいただいたことを鑑み、弊社サービスにおきましても、「SSL 3.0」プロトコル を「サーバ側で無効化」する対策を施すことで事案に対応することといたしました。

○ JPCERT/CC Alert - JVNVU#98283300:
 SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
  https://jvn.jp/vu/JVNVU98283300/

- 記 -

案内日時:2014年10月28日(火)

脆弱性名:SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)(CVE-2014-3566)

脆弱性対策について

  1. ASJペイメントサービスで提供しているクレジットカード決済を含む決済関連サーバ(www.asjpayment.jp(asjpayment.jp) および pmt.asj.ne.jp)へのHTTPS(SSL)接続利用時のSSL 3.0プロトコルの無効化
  2. ASJペイメント管理画面を含むサービスサイトでのHTTPS(SSL)接続利用時のSSL 3.0プロトコルの無効化

脆弱性対策予定日時

  1. 2014年11月4日(火)午前9時より順次(2~3時間程度を予定)
    なお、この対策作業によるサーバのダウンはございません。

脆弱性対策の影響範囲

  1. この対策作業によるサーバのダウンはございません。
  2. 対策以降、ASJペイメントサービスで提供しているクレジットカード決済を含む決済関連サーバへのHTTPS(SSL)接続時に、SSL 3.0を利用した接続がご利用いただけなくなります。
  3. 対策以降、ASJペイメント管理画面を含むサービスサイトに対して、HTTPS(SSL)接続時にSSL 3.0を利用した接続がご利用いただけなくなります。

影響への対策方法

    ◆ ASJペイメントサービス利用時の対策
  1. PC での Webブラウザ対応について
    現在、各OSベンダがサポートを継続しているOSを用いたPCで稼動するWebブラウザのほとんどが既定の設定でSSL 3.0接続よりも優先して、TLS接続を用いるようになっているため、既定値のままの設定でのご利用であれば、この対策による影響を受けることはございません。
    何らかの事由で、TLS1.0の接続を無効化している場合、影響を受ける可能性がございます。
    この場合、TLS接続(TLS1.0)を利用して、接続するよう設定を変更します。

    事例)Internet Explorer においての回復手順:「 SSLの設定手順 」を表示
    ※Internet Explorerの既定の設定では「TLS1.0を使用する」が既に有効となっているため、既定から操作していない限り、設定を変更する必要はございません。
    対策日以降、HTTPS(SSL) 接続時に問題がある場合、こちらの項目をご確認くださいますようお願い致します。

  2. スマートフォンでのWebブラウザ対応について
    現在、各OSベンダがサポートを継続している OS(iOS/Android等)を用いたスマートフォンの標準ブラウザのほとんどが既定の設定でSSL 3.0接続よりも優先して、TLS接続を用いるようになっているため、既定値のままの設定であれば、この対策による影響を受けることはございません。
    何らかの事由で、TLS1.0の接続を無効化している、もしくはTLS接続をサポートしていないブラウザを利用している場合、影響を受ける可能性がございます。
    この場合、TLS接続(TLS 1.0)を有効化して、接続するよう設定を変更します。
    回復手順については、機種ごとに異なる可能性がございますので、対策日以降、HTTPS(SSL) 接続時に問題がある場合、各機種のキャリアサポート窓口にご確認をいただけますようお願い致します。
  3. 携帯電話(フィーチャーフォン)でのWebブラウザ対応について。
    影響を受ける可能性がある携帯電話について、各社から情報が掲載されておりますのでご参考ください。

    o NTTドコモ

    iモードブラウザ1.0 搭載の機種:影響を受けます。
    iモードブラウザ2.0以降を搭載の機種:影響を受けません。
    https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html

    o au(KDDI)

    F001 および 2012年夏以降の機種:影響を受けません。
    2012年5月以降のアップデート対象機種:影響を受けません。
    該当でない機種: 影響を受けます。
    https://www.au.kddi.com/ezfactory/web/
    https://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdf

    o ソフトバンク

    全機種: 影響を受けません。
    http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html
    TLS接続非対応の機種では、対策以降、HTTPS(SSL)接続ができません。
    恐れ入りますが、対応の機種もしくは、対応のPC/スマートフォン での接続をいただけますようお願い致します。

  4. PSPやPS3など家庭用ゲーム機でのWebブラウザ対応について
    影響を受ける可能性がありますので、恐れ入りますが、対応のPC や スマートフォン で接続いただけますようお願い致します。

お客様およびご利用ユーザ様には、大変お手数をお掛け致しますが、セキュリティ保護の観点から必須の対策となりますので、何卒ご理解を賜りますようお願い申し上げます。

SSLを利用したセキュア通信につきましては、今後も、TLSの上位のバージョンのサポートや、SHA2証明書への切り替えなど、様々な観点から注力し、情報セキュリティ対策をより一層進めていく所存でございます。

以上