iOSとOSXでの SSL 3.0 脆弱性への対策をしました [エレクトロニクス]
iOSとOS Xのセキュリティに関する記事です。
昨年(2014年)秋に「SSL 3.0 の脆弱性により、情報漏えいが起こる」と報道されました。
「POODLE」問題とも呼ばれています。
SafariなどのブラウザでサイトにアクセスするときにSSL3.0が有効になっていると、情報が漏洩してしまう可能性があるという問題でした。
各企業が一斉にSSL3.0を無効にする対策をしたようですが、個人ユーザでも自分の使うパソコンやスマートフォンで対策しておかなければなりませんね。
iOS(iPhone, iPad)やOSX(Mac)での対策について調べたことと実行したことをまとめました。
| 政府の情報 |
|---|
総務省;
平成26年10月24日 SSL3.0の脆弱性について
http://www.denpa.soumu.go.jp/public2/news/
情報処理推進機構(IPA);
更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566)
最終更新日:2014年10月30日
https://www.ipa.go.jp/security/announce/20141017-ssl.html
| 地方自治体と企業の対応の例 |
|---|
検索にヒットした順に一部を掲載しました。もちろんこれ以外が対策していないということではありません。
このようにユーザにきちんとお知らせしていただけるととても助かりますね。
町田市ホームページのSSL3・0の脆弱性対応について
更新日:2014年12月3日
http://www.city.machida.tokyo.jp/about/ssl.html
浜松市立図書館;
SSL3.0の脆弱性の対応について
http://www.lib-city-hamamatsu.jp/guide/seq26.11.htm
大阪府堺市;
【文化施設等】堺市施設予約システムのSSL3.0の脆弱性への対応について
更新日:2014年11月21日
http://www.city.sakai.lg.jp/yoyakuanai/bunkayoyaku/zeizyakusei.html
無印良品;
SSL 3.0 利用停止の影響について
http://www.muji.net/mt/contact/others/025844.html
ブラウザのセキュリティ設定によっては、当社ウェブサイトへアクセスできなくなる場合がありますので、ご注意ください。
IIJmio;
SSL3.0脆弱性への IIJmioサービスにおける対応について
https://www.iijmio.jp/info/iij/20150115-1.html
対象となる機能において、2014年2月12日以降、SSL3.0を無効とします。SSL3.0を無効とした後も、TLS1.0、TLS1.1及びTLS1.2を利用した暗号化はご利用いただけます。
バンダイナムコ;
【重要】SSL3.0の脆弱性に対する対応について
https://www.bandainamcoid.com/info/141119
| 確認のために使ったサイト |
|---|
SSLやTLSの有効/無効を調べるために、手持ちのiPhoneとMacで以下のサイトに接続しました。
QUALYS' SSL LABS : https://www.ssllabs.com/ssltest/viewMyClient.html
* 上記のテストサイトはHITACHIのサイトで、オンラインテストツールとして紹介されていました。
http://www.hitachi.co.jp/hirt/publications/hirt-pub14013/index.html
| iOSのSafari |
|---|
iPhone5, iOS 8.1.2
モバイルSafariは対策されているようです。
下記のサイトによればiOS 6, iOS 7, iOS 8 は大丈夫のようです。
SSL Labs: Testing for Apple's TLS Authentication Bug
https://community.qualys.com/blogs/securitylabs/2014/02/24/ssl-labs-testing-for-apples-tls-authentication-bug
その他のブラウザを使う場合は、ブラウザの設定でSSL3を無効にできるのかどうかや最新バージョンで対応しているかどうかなどの確認が必要ですね。
*その後、特に何も変更していなかったのですが突然SSL3.0が有効になっていました。
| OSXのSafari |
|---|
MacBook Pro Retina Mid 2012
| Mountain Lion 10.8.5の場合 |
|---|
セキュリティアップデートで対応できているはずなのですがこれ↓をインストールしても、SSL3.0が有効になっているようです。なぜ??他にも可能なアップデートは全てしてあるのにおかしいですね??
http://support.apple.com/kb/DL1771?viewlocale=ja_JP&locale=en_US
Appleコミュニティ(US)でもいろいろと議論されていましたが、真相はわかりませんでした。
| Yosemite 10.10.1の場合 |
|---|
TLSは有効でSSLはきちんと無効になっていました。
*その後、特に何も変更していなかったのですが突然SSL3.0が有効になっていました。
なにかもう訳がわかりません。
| OSXのFirefox Ver.35.0 |
|---|
MacBook Pro Retina Mid 2012, Yosemite 10.10.1
インストールしたままの状態(デフォルト)ですが、対策されているようですね。
【関連過去記事】
位置情報サービスリストの不要なアプリを削除してみました
http://fujikuro.blog.so-net.ne.jp/2015-01-08
iOS8とYosemiteでユーザのプライバシーを優先する設定 [Spotlight編]
http://fujikuro.blog.so-net.ne.jp/2014-12-22
Dropboxの2段階認証を設定しました(図解)
http://fujikuro.blog.so-net.ne.jp/2014-05-09
Apple IDの2ステップ確認を設定しました(図解)
http://fujikuro.blog.so-net.ne.jp/2014-02-24
iOSデバイスを安全に使う(Safari編)図解
http://fujikuro.blog.so-net.ne.jp/2013-08-05
クレジットカード情報が流出しました
http://fujikuro.blog.so-net.ne.jp/2013-05-28
フィッシング詐欺? ディノスからのメール
http://fujikuro.blog.so-net.ne.jp/2013-05-15
コメント 0