ここ最近、「FacebookとTwitterに繋がらなくなった」という話を多く耳にしています。
奇妙なのは、パソコンからインターネットエクスプローラーを介す場合のみ出る症状ということ。
2014年10月14日、グーグルのセキュリティチームがネットワーク上で使用される暗号化技術「SSL3.0」に深刻な脆弱性があると報告しました。この脆弱性を突かれた攻撃を受けると暗号が破られてしまう危険があります。
つまり、インターネットを利用している皆さんの個人情報の安全性に関わってくる問題であることを言っています。
グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明 - CNET Japan
http://japan.cnet.com/news/service/35055155/
上記サイトで詳細に解説されていますが、「SSL 3.0」という暗号は非常に古いにも関わらず様々なサイトで依然として利用され続けている現実があります。これら問題はサイト運営者やネットサービス提供者、サーバー運営者には深刻な問題でそれぞれ対策を講じはじめています。
FacebookとTwitterもこの問題に対して対策を講じ、同月15日に「SSL3.0」を無効化し、代わりにSSL 3.0の次のバージョンである「TLS」という暗号に一本化した模様です。
今回発表されたこの問題に対してはこの処置で問題なくなったと言えますが、インターネットエクスプローラーを利用してこれらサービスにアクセスしていた方々から「FacebookとTwitterに繋がらなくなった」「このページは表示できません」という表示がでるなどの報告が上がっています。これはインターネットエクスプローラーが「TLS」による通信を使用しないような設定になっているからです。
そこで、この問題にあってしまったユーザーの皆様向けに「インターネットエクスプローラーでTLSによる通信を使用する」設定にする方法を紹介します。
▲FacebookやTwitterへアクセスすると「このページは表示できません」とでる。
事の発端は「SSL3.0」で発見された深刻な脆弱性「POODLE」
興味ない方は飛ばして結構ですが、一応簡単に書いてみます。
冒頭部分でも書きましたが、2014年10月14日(米国時間)にGoogleのセキュリティチームが「Secure Sockets Layer(SSL) 3.0」に深刻なセキュリティ脆弱性「POODLE」があると発表しました。
グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明 - CNET Japan
http://japan.cnet.com/news/service/35055155/
SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA 独立行政法人 情報処理推進機構
http://www.ipa.go.jp/security/announce/20141017-ssl.html
マイクロソフト セキュリティ アドバイザリ 3009008
https://technet.microsoft.com/ja-jp/library/security/3009008
Google、SSL 3.0の脆弱性「POODLE」を公表、SSL 3.0は今後サポート廃止の意向 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20141015_671482.html
脆弱性(ぜいじゃくせい)って?
コンピュータやソフトウェア、ネットワークなどが持つセキュリティ上(安全上)の問題や欠陥のことです。
「バグ」とは異なり、想定された通常の使用方法であれば問題ない動作をしていますが、攻撃者が意図的に無茶な行為をさせるように仕掛けることでその欠陥が顕在化しセキュリティ上の問題(個人情報の漏洩など)が発生してしまう、そのようなプログラムの欠陥を「脆弱性(ぜいじゃくせい)」といいます。
人間が作っている以上、完璧なプログラムなど存在せず、発見されていなくとも大きなプログラムは何かしらの脆弱性を常に持っています。それらがいち早く発見され修正されていくことがITの世界ではとても大事なこととなっています。
SSL とか TLS って?
Secure Sockets Layer(SSL) と Transport Layer Security(TLS) は共にインターネットなどのネットワーク上で使用される通信の暗号化技術を指します。
ネットワーク上の途中で通信内容を傍受されたり、改ざんされたりされないよう大事なデータを送受信する場合は必ず暗号化がされるようになっています。その暗号化手段が「SSL」と「TLS」です。電子メールなどにももちろん利用されています。
このうち「SSL」の方はとても古い規格で正直暗号としての信頼性はいまいちになりつつあり、SSLの次のバージョンである「TLS」の使用が推奨されています。しかし、依然「SSL」での通信が多くのサイトでされており今後の課題となっています。
今回はその「SSL」のうち「3.0」というバージョンにおいて新たな、しかも深刻な脆弱性が発見され話題となりました。暗号であるSSLに脆弱性が発見されたということは、その脆弱性を突いた攻撃を受けると暗号の意味が無くなってしまうことを意味し、個人情報の漏洩などの問題が発生してしまいます。(因みに、この脆弱性はTLSには影響無いようです。)
ちょっと詳細に書くと
この脆弱性を使う攻撃者は、Webサーバーとクライアント(私達のパソコンで使用しているWebブラウザ)との間でやりとりされる通信を悪用し、TLSでの通信を無理やりSSL3.0への通信へとダウングレードさせることができるようになります。こうして強制的に弱いSSL3.0への通信をさせられたクライアントに悪意のあるコード(コンピューターウイルスなど)を実行させることができるといった脆弱性です。
ただし、この攻撃を成功させるためにはいくつかの条件をクリアする必要があり、その条件は中々クリアが難しいものなのですぐに攻撃が始まるわけではありません。ただ、長期的に放置するわけにはいかないレベルのものでもあるので各社対策を始めている様子です。
FacebookとTwitterの対策
個人情報の宝庫である「Facebook」と「Twitter」も人事ではありません。
この脆弱性を放置したままだと個人情報の漏洩などを起こしてしまう可能性があります。
そこで、FacebookやTwitter(その他一部サービス)は「SSL3.0経由」での接続を遮断したそうです。
これにより " 今回発見された " 脆弱性に関しては影響を受けなくなりました。(もちろん、今後新たな脆弱性が見つかる可能性は十分にありますので気をつけてください。)
FacebookとTwitterに繋がらない場合がある
「SSL3.0経由」での接続を遮断したという対策を行った結果、特にインターネットエクスプローラー(以下IE)でこれらサービスにアクセスした場合、正常に接続できない現象が報告されています。他のブラウザを使ったり、スマホからアクセスすると問題なく表示されます。
これはIE側の設定で「TLS」での通信の使用が許可されていないことが原因です。
▲IEでFacebookやTwitterにアクセスすると以上のような表示がでてしまう。
「Internet Explorer 11」ならばTLSが標準で使用されるようになっています。なので、Windows7以降の方で常に最新のIEを使っている場合は影響がないこともあります。Windows Vistaを利用されている方は「Internet Explorer 9」が最新版IEになり、場合によっては手動で「TLS設定」をする必要があります。(Windows XPの場合はそもそもOS自体がサポート切れです。早めに最新OSへ移行してください。)
通常はVistaで利用できるIE9でもTLSは標準で有効になっているはずですが、何かの拍子でチェックが外れていることがあるようです。確認してみてください。(当方のVistaで使用されているIE9は標準で「TLS1.0」が有効になっていました。)
対策方法
IEで「TLSでの通信を使用するための設定」をする必要があります。
←「インターネットエクスプローラー」とはこれのことです。Webブラウザの一種です。
インターネットに接続して、ウェブ上に存在するあらゆるデータを閲覧するためのソフトウェアを「ウェブブラウザー」と呼びます。ここを閲覧してくださっている皆様も、必ず何かしらのウェブブラウザーでアクセスして表示しているものとかと思います。ウェ[…]
IEを起動したら、右上の歯車マークをクリックし「インターネット オプション」を選んでください。
「詳細設定」タブを選択し、「設定」の中から「SSL」と「TLS」の関する設定を見つけてください。
「SSL2.0」「SSL3.0」「TLS1.0」「TLS1.1」「TLS1.2」が選択でき、チェックをするとその暗号で通信ができるようになります。今回のFacebookやTwitterにアクセスできないという状況を改善するだけなら「TLS1.0~1.2」の使用を許可してください。チェックし終えたら「適用」を選択します。(IEのバージョンにより「TLS1.1」「TLS1.2」がないこともありますが、その場合は「TLS1.0」を有効化してください。)
もし、今回のSSL暗号による脆弱性も意識するなら「SSL2.0~3.0」のチェックは外して使用を許可しない設定にしてください。ただし、SSLで通信するサイトもまだ多いことから、SSL通信をしない設定にすると正常に表示できないサイトが別にでてくる場合があります。
FacebookやTwitterへアクセスできるようになれば成功です。
追記:多くのサイトでSSL3.0の停止がされ始めています
SSL3.0の脆弱性報告を受けて、各社対策をしてきました。
それぞれのサイト、サービスは安全性確保のためSSL3.0を無効化し始めています。今回、FacebookやTwitterに繋がらなくなった方々は当記事でTLSの有効化をされたかと思うので問題ないでしょうが、ほっといた場合はこれら各サービス会社の対策によりその他多くのサイトも表示できなくなる状態へ発展する可能性があります。お近くの方で困っている方が他にいましたら同じような手順でTLSの有効化をお願いしてあげてください。
(インターネットエクスプローラーの開発元である Microsoft が Windows Update などで何か対策をしてくれるかもしれないので杞憂かもしれませんが一応。)
追記:どうやらMicrosoftも対策を施してくれるようです。、IEでSSL 3.0を無効にするためのツール「Fix it」を公開しました。また、今後数カ月以内に、Internet Explorer(IE)のデフォルト設定も変えてくれるようです。詳しくは下記サイトより。
Microsoft、SSL 3.0脆弱性対策としてIEの「Fix it」を公開 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20141030_673801.html
銀行サイトでもSSL3.0の利用がされています。もし、それらサイトがTLSでの通信もサポートしているようでしたらなるべくSSLの使用を許可しない設定をしてからアクセスしてみましょう。
SSL3.0で確認された脆弱性に対する対応について - ガンホーゲームズ-無料で遊べるオンライン遊園地!
http://www.gungho.jp/index.php?module=Page&action=NoticeDetailPage¬ice_id=4388
SSL 3.0利用時のPOODLE攻撃の脆弱性に関して | テレビ会議(TV会議)・Web会議のブイキューブ
http://jp.vcube.com/news/2014/1020_1100.html
各社の対応状況は以下のような検索ワードで検索すると引っかかります。
検索ワード例:SSL3.0 "お知らせ"
まとめ
以上、15日以降急にFacebookやTwitterにアクセスできなくなった場合の対処法でした。
インターネットでは常にこのような危険があり、修正するためにいくらか不便になってしまうこともあります。
そのようなこともあると今回の事件は大目に見てあげてください。(IEがTLSを無効にしていることがあるというのは謎ですが)
因みに、ChromeやFirefoxなどの最新版ではSSL3.0がデフォルトで使わないようになっているらしいので、繋がらなくなったということはないようです。