FREAK攻撃への一時的な対策 (Windows PCユーザー側)
最終更新日
グループポリシーからSSL暗号の順位の変更
SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
https://jvn.jp/vu/JVNVU99125992
Windowsの更新プログラムは2015/03/11頃に配布が開始されました。Windows Update等から適用できます。また、下のURLのリンクからも個別ダウンロード可能です。
https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2015/ms15-031#影響を受けるソフトウェア
下記の回避策を採用した場合は、解除してから更新プログラムを適用した方が良いようです。
Windowsについては、回避策としてSSL暗号の順位を変更し、RSA 鍵交換暗号を無効にすることが推奨されています。(MS15-031更新プログラム適用後は不要)
マイクロソフト セキュリティ情報 MS15-031
Schannel の脆弱性により、セキュリティ機能のバイパスが起こる (3046049) ―― 回避策
https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2015/ms15-031
[注意]
- 上記回避策を適用することにより、IE等を使用の際、httpsで始まるURLの一部にアクセスできなくなる所があります。表示例:「このページは表示できません」
- サードパーティ製のソフトの中には、WindowsのSSL設定に影響を受けないものがあります。(Firefox等)
しかし、設定するにあたって一つ問題がありました。暗号リストをそのままコピー&ペーストしても表示されるのは最初の1行だけになってしまうこと。
実はそのままでは使えないので、暗号リストを編集する必要がありました。
編集後のSSL暗号リストが下になります。
from https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2015/ms15-031#回避策
どこが違うかっていうと、「改行」を無くしただけ。理由は次の章で。
SSL暗号の順位の変更作業
- 「検索」または「ファイル名を指定して実行」から、gpedit.mscを起動する。
- コンピューターの構成→管理用テンプレート→ネットワーク→SSL構成設定→SSL暗号の順位
-
SSL暗号の順位 画面
- 有効にする。
- オプション「SSL暗号」を変更する。
(上記の暗号リストに差し替える) - OKをクリック。
- PCを再起動する。
設定をデフォルトに戻すには、有効→未構成にします。
グループポリシーエディターはWindows XP以降で使えますが、Home Editionでは利用できません。
また、Windowsの古いバージョンではグループポリシーエディターの起動方法が異なります。
グループポリシー SSL暗号順位リスト 記述方法の注意点
SSL暗号のリストはコンマ(,)区切りにして1行にまとめる。改行は使わない。
[参照]
Changing the SSL cipher order in Internet Explorer 7 on Windows Vista
http://blogs.technet.com/b/steriley/archive/2007/11/06/changing-the-ssl-cipher-order-in-internet-explorer-7-on-windows-vista.aspx
暗号リストに改行が使われていると、改行の前までしか張り付けることができません。
リストに改行が使われていたり、コンマ区切りになっていない場合は、メモ帳(notepad.exe)などのテキストエディタを使って編集します。編集したものを「SSL暗号」欄に張り付けます。
- 関連記事
- パスワードの保管技
- 脆弱性 Logjam Attack対策 for Firefox
- FREAK攻撃への一時的な対策 (Windows PCユーザー側)
- WindowsのレジストリでSSL 2.0、SSL 3.0を無効にする方法
- SSL 3.0の脆弱性、FirefoxとIEでの対策