SSL 3.0 の脆弱性への対策のため 2015 年 2 月 20 日から Azure Storage で SSL 3.0 を無効化


このポストは、1 月 8 日に投稿された Protecting against the SSL 3.0 vulnerability - Azure Storage to start disabling SSL 3.0 on February 20th, 2015 の翻訳です。

マイクロソフトは、業界全体に影響を与えている SSL 3.0 の脆弱性 (通称「POODLE」) への対策として、Azure サービスで 2014 年 12 月 1 日から SSL 3.0 のサポートを停止することを 10 月末に発表しました。これに伴い、Azure Storage では 2015 年 2 月 20 日から SSL 3.0 のサポートを停止します。Azure Storage への接続に HTTPS を使用しているクライアントおよびブラウザーのうち、SSL 3.0 に代わる TLS 1.0 またはそれ以降を使用していないものは、SSL 3.0 が無効化されると Azure Storage に接続できなくなります。HTTP を使用して Azure Storage に接続しているクライアントおよびブラウザーには影響はありません。

お使いのアプリケーションをすぐにご確認のうえ、SSL 3.0 をご利用中のお客様は使用を中止することをお勧めいたします。

  • SSL 3.0 を強制的に使用するようになっていないかご確認ください。たとえば、Azure サービスとの通信を行う .NET アプリケーションの場合、下記のように設定しないでください。

ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3;

  • Windows XP またはそれ以前の OS で IE 6.0 またはそれ以前のブラウザーを使用している場合、SSL 3.0 を使用している可能性が非常に高いと考えられます。ほとんどの場合、Azure Storage Analytics を有効化してログの User Agent の値を見ると、クライアントが使用しているブラウザーの種類を確認できます。エンド ユーザーおよび管理者の皆様が、クライアントで TLS 1.0 またはそれ以降が使用されているかどうかを確認する方法、および事前に SSL 3.0 を無効化する方法は、こちらの記事を参照してください。なお、Windows XP で IE 6 を使用している場合の User Agent の値は次のようになります。

“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”

まとめと関連資料

Microsoft Azure Storage への接続状況を分析した結果、現在も SSL 3.0 を使用しているお客様はごく少数であることが判明していますが、マイクロソフトでは今回の変更についてさらなる周知を図り、SSL 3.0 無効化が実施される前に該当アプリケーションを更新していただけるよう努めてまいります。

Storage Analytics Logging について
Microsoft Azure Storage のログ記録: ログを使用して Storage サービスへの要求を追跡する (英語)
SSL 3.0 の脆弱性への対策
Azure Websites、ロール、および Virtual Machines で SSL 3.0 を無効化する方法
Azure のセキュリティ機能の SSL 3.0 に関する最新情報

Perry Skountrianos
Azure Storage 担当プログラム マネージャー


Comments (0)

Skip to main content