プードル(POODLE)にかみつかれないためのIE対策その知識、ホントに正しい? Windowsにまつわる都市伝説(21)

2014年は「Heartbleed」(OpenSSL)、「ShellShock」(GNU bash)、「POODLE」(SSL 3.0)と、Web関連の脆弱性が立て続けに見つかりました。今回は、個人や企業が「Internet Explorer」に対してできるPOODLE対策を紹介します。12月の更新プログラムで問題は解消したと勘違いしていませんか?

» 2014年12月12日 18時00分 公開
[山市良テクニカルライター]
「Windowsにまつわる都市伝説」のインデックス

連載目次

IEのPOODLE対策は超簡単、SSL 3.0を「無効」にするだけ

 2014年10月に明らかになった「SSL(Secure Sockets Layer)3.0」(SSL v3)の脆弱(ぜいじゃく)性は、広範囲のWebサーバーやWebブラウザー、SSLをサポートするその他のソフトウェアに影響するといわれています。この脆弱性を放置した場合、「POODLE(Padding Oracle On Downgraded Legacy Encryption)攻撃」と呼ばれる中間者攻撃の影響を受ける可能性があります。

 SSL 3.0はレガシーな暗号化プロトコルであり、脆弱性はプロトコル自体にあるため、セキュリティ更新パッチの適用で脆弱性を排除するということができません。そこで、WebサーバーとWebブラウザーの両方でSSL 3.0のサポートを無効化し、よりセキュリティが高い後継の「TLS」(Transport Layer Security)だけを使おうという流れになっています。

 インターネット上にある無数のWebサーバーの全てがSSL 3.0のサポートを停止することに期待はできないので、まずはWebブラウザー側で対策しておくことをお勧めします。

 「Internet Explorer」(IE)の場合は、「インターネットオプション」の「詳細設定」タブで、「SSL 3.0を使用する」のチェックを外すことで簡単に対策できます(画面1)。「SSL 2.0を使用する」は既定で無効になっていますが、有効になっていたら一緒に無効にしておきましょう。

画面1 画面1 IEの「インターネットオプション」の「詳細設定」タブで、SSLの使用を無効化する

企業なら「グループポリシー」で一括設定が可能

 企業の場合は「グループポリシー」を利用することで、前述のIEの設定を企業内のクライアントPCに一括展開することができます。具体的には、以下のポリシーを有効にし、「安全なプロトコルの組み合わせ」として「TLS 1.0、TLS 1.1、およびTLS 1.2を使用」を選択します。

コンピューターの構成(またはユーザーの構成)\ポリシー\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\[詳細設定]ページ\暗号化サポートを無効にする


 グループポリシーにあるIE用の管理用テンプレート(Inetres.admx)を使用して暗号化プロトコルを構成した場合は、ユーザーが設定を変更してセキュリティを緩和するということを防止できる利点があります(画面2画面3)。

画面2 画面2 IE用の管理用テンプレート(Inetres.admx)にある「暗号化サポートを無効にする」を有効化し、オプションでSSLを含まない組み合わせを選択する
画面3 画面3 グループポリシーで構成された暗号化プロトコルの設定。このように、グループポリシーを使用するとユーザーの変更を防止できる

IE 11に新たに追加された「SSL 3.0のフェールバック警告」は既定で無効

 2014年12月10日のWindows Updateで配布されセキュリティ更新プログラム「KB3008923」では、POODLE攻撃への対策に利用できる新機能が追加されました。「SSL 3.0のフォールバック警告(SSL 3.0 Fallback Warnings)」という機能です。

 「SSL 3.0のフォールバック警告」機能は、12月のセキュリティ更新プログラムでIE 11に追加されましたが、既定では機能が「無効」になっていることに注意してください。「このセキュリティ更新プログラムの適用でSSL 3.0が無効化される」という誤ったニュース記事が出ているようです。ニュース記事をうのみにすると、セキュリティ更新プログラムを適用しただけでPOODLE対策が完了したと勘違いしてしまうでしょう。

 すでにWebブラウザーでSSL 3.0を無効化しているのであれば、IE 11の「SSL 3.0のフォールバック警告」機能は必要ありません。「SSL 3.0のフォールバック警告」の目的は、SSL 3.0を無効化できない理由がある場合に、アクセス先のサイトによってSSL 3.0の使用を許可したり、ブロックしたりするためのものです。

 IE 11はセキュリティで保護されたサイトに接続する際、TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0……と順番に暗号化プロトコルを試し、WebサーバーとWebブラウザーの両方で使用可能な中で最もセキュリティが高いプロトコルを選択します。

 「SSL 3.0のフォールバック」とは、TLSの全てのバージョンでの接続が失敗して、次にSSL 3.0の使用を試みるところを指します。このSSL 3.0への切り替えを許可するか、警告してブロックするかというのが、「SSL 3.0のフォールバック警告」の機能になります。

 IE 11で「SSL 3.0のフォールバック警告」は、グループポリシーやローカルコンピューターポリシーで有効化できます。グループポリシーを使用する場合は、以下のポリシーを有効化します(画面4)。

コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\Internet Explorer\セキュリティの機能\SSL 3.0へのフォールバックを許可する(Internet Explorer)


画面4 画面4 IE 11に追加された「SSL 3.0のフォールバック警告」を有効化するためのポリシー

 このポリシーでは、次の三つのオプション設定のいずれかを選択します。選択肢の日本語が適切とは言いがたいため、英語の表現を付記しました。

  • どのサイトでも許可しない(No Sites)
  • 保護されていないモードサイト(Non-Protected Mode Sites)
  • すべてのサイト(All Sites)

 2番目のオプションは、「保護モードが有効になっていないサイトではフォールバックを許可する=保護モードが有効なサイトではフォールバックを許可しない」という意味です。IEの既定では、「インターネット」および「制限付きサイト」ゾーンは保護モードが有効、「ローカルイントラネット」および「信頼済みサイト」は保護モードが無効になっています。

 つまり、「どのサイトでも許可しない」を選択すれば、SSL 3.0へのフォールバックは全てブロックされます。これが最もセキュリティが高い設定となりますが、IEでSSL 3.0を無効化する場合と結果的に変わりません。「すべてのサイト」はSSL 3.0へのフォールバックをブロックしないため、POODLE攻撃への対策にはなりません。

 「保護されていないモードサイト」を選択すれば、「ローカルイントラネット」および「信頼済みサイト」で引き続きSSL 3.0へのフォールバックを利用できるということになります。このオプションは、どうしてもSSL 3.0サイトにアクセスする必要があり、SSL 3.0をIEで無効にできない場合に有効です。

 以下の画面5は、TLS 1.2とSSL 3.0の使用が有効になっているIE 11に対して、「SSL 3.0へのフォールバックを許可する」ポリシーをさらに有効化し、TLS 1.0とSSL 3.0のみに対応したWebサイトに実際にアクセスしたときの様子になります。

画面5 画面5 「SSL 3.0へのフォールバックを許可する」ポリシーによりブロックされたアクセス

 TLS 1.0での接続は失敗するため、SSL 3.0に切り替えようとしますが、その時点で警告され、アクセスがブロックされます。ポリシーで「保護されていないモードサイト」を選択した場合は、このサイトのURLを「信頼済みサイト」ゾーンに追加することで、警告やブロックなしでSSL 3.0によるアクセスが可能になります。

「SSL 3.0のフェールバック警告」の既定での有効化は「2015年2月11日」から

 お使いのIE 11が「SSL 3.0のフェールバック警告」の機能に対応しているかどうかは、セキュリティ更新プログラム「KB3008923」が適用済みであるかどうかで判断できます。

 IE 11のメニューから「ヘルプ」→「バージョン情報」を参照して、「11.0.15(KB3008923)」またはそれ以降のバージョンであれば対応しています。また、「SSL 3.0のフェールバック警告」に対応したポリシーは、セキュリティ更新プログラム「KB3008923」で置き換えられる、更新日時が「2014/11/14」以降のIE用の管理用テンプレート「%Windir%\PolicyDefinitions\Inetres.admx」で管理できます。

 グループポリシーを利用できない場合、例えば、ドメインメンバーでないクライアントがあったり、グループポリシーに対応していないWindowsを実行したりしている場合は、以下のMicrosoft Supportサイトで公開されている「Microsoft Fix It 51028(MicrosoftFixIt51028.msi)」を使用して、「SSL 3.0のフェールバック警告」を有効化できます(画面6)。

画面6 画面6 「Microsoft Fix It 51028」を使用した「SSL 3.0のフェールバック警告」の有効化。グループポリシーとは異なり、日本語がしっかりしているので選択肢の意味を間違うこともないだろう

 前述のようにIE 11の新機能である「SSL 3.0のフェールバック警告」は、既定では「無効」の状態です。これが、2015年2月11日(日本時間)からは既定で「保護されていないモードサイト」の設定で有効になる予定です。詳しくは、以下MSDN(Microsoft Developer Network)のブログ記事(英語)でご確認ください。

 なお、「KB3008923」の更新プログラムに不具合が発見されたようです。詳細は以下のTechNet Blogsで確認してください。

【2014年12月18日 追記】

「KB3008923」の更新プログラムの不具合は、2014年12月18日にWindows Updateで配信された更新プログラム「KB3025390」(http://support.microsoft.com/kb/3025390)により解消されます。更新プログラムのインストール後にコンピューターの再起動は要求されませんが、IE 11を実行中の場合は変更を反映させるために、IE 11を再起動する必要があります。


「その知識、ホントに正しい? Windowsにまつわる都市伝説」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2014)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。