SSLv2 の脆弱性「DROWN」に関するお知らせ

2016 年 3 月 3 日
サイバートラスト株式会社

お客様各位

平素は格別のお引き立てを賜り、誠にありがとうございます。

米国時間 3 月 1 日に 「DROWN (Decrypting RSA with Obsolete and Weakened eNcryption)」 と呼ばれる SSL 接続時に使用する SSLv2 の脆弱性が公表されました。

The DROWN Attack (https://drownattack.com/)

サーバーが SSLv2 で接続可能な場合に、攻撃者がサーバーに対してクロスプロトコル攻撃を行うことで暗号化された通信が復号され、通信内容が傍受される可能性があります。

なお、本脆弱性は、SSL サーバー証明書に影響はなく、再発行や再設定は必要ございません。また、SureServer のみならず、弊社の全てのサービスで影響ございません。

SSLv2 には以前からいくつかの脆弱性があり、すでにデフォルトで無効化されているブラウザやサーバーが多数を占めておりますが、お客様のサイトにおかれまして、SSLv2 が無効化されていることを下記にてご確認ください。

DROWN check

SSLv2 が有効である場合は無効化並びに最新バージョンへのアップデートや修正パッチを適用してください。
※確認や対策方法は以下 JVN の記事(日本語)も合わせてご参考ください。

JVNVU#90617353 - SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)

また、SSLv3 につきましても、脆弱性「POODLE」が発見されておりますため、SSLv2 と SSLv3 の双方を無効とする設定変更を推奨します。

SSL 3.0 の脆弱性 POODLE に関するお知らせ

本件に関するお問い合わせ先