お知らせ

2014/10/28[重要] SSL 3.0の脆弱性(POODLE攻撃)の対策について

平素よりASJGAMESをご利用いただきありがとうございます。

2014年10月16日より、SSL通信の特定の
プロトコルバージョン「SSL 3.0(SSLv3)」において、
通信内容を読み取られる危険性がある,脆弱性があるとして、
JPCERTコーディネーションセンター(JPCERT/CC)をはじめとする
各種セキュリティ機関)から注意喚起が広く行なわれております。

該当の脆弱性につきましては、脆弱性発表直後より弊社担当部署にて
サーバー側における複数の対策手法などを平行して検証しつつ、
クライアント側(ブラウザソフトなど)の対策状況の把握、および、
サーバ側における対策の世界的な動向などに着目してまいりましたが、
世界的な対策情勢や、お客様からのサーバ側での対策についての多くの
ご要望を鑑み、弊社サービスにおきましても、
「SSL 3.0」プロトコル を「サーバ側で無効化」する対策を施すことで事案の
対応とすることとなりましたので、ご報告致します。

JPCERT/CC Alert - JVNVU#98283300:
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
http://jvn.jp/vu/JVNVU98283300/


- 記 -


脆弱性名:SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)
     (CVE-2014-3566)

脆弱性対策について:
o ゲームサイト内での HTTPS(SSL)接続利用時の
SSL 3.0プロトコルの無効化。

脆弱性対策予定日時:2014年11月4日(火)午前9時より順次(2〜3時間程度を予定)
          この対策作業によるサーバのダウンはございません。

脆弱性対策の影響範囲:
1. この対策作業によるサーバのダウンはございません。

2.対策以降、弊社ゲームサイトに対する、HTTPS(SSL)接続時に、
      SSL 3.0を利用した接続がご利用いただけなくなります。

影響への対策方法:

サービス利用時の対策
1.PCでのWebブラウザ対応について

現在、各OSベンダがサポートを継続しているOSを用いたPCで稼動する
      Webブラウザのほとんどが既定の設定でSSL 3.0接続よりも優先して、
TLS接続を用いるようになっているため、既定値のままの設定での
      ご利用であれば、この対策による影響を受けることはございません。

何らかの事由で、TLS1.0の接続を無効化している場合、
影響を受ける可能性がございます。
この場合、TLS接続(TLS1.0)を利用して、接続するよう設定変更を行ないます。

事例)
 Internet Explorer においての回復手順:
 http://www.asj-games.jp/ssl_ie.html

 ※ Internet Explorerの既定の設定では「TLS1.0を使用する」が
         既に有効となっているため、既定から操作していない限り、設定
         修正を行なう必要がございません。
         対策日以降、HTTPS(SSL) 接続時に問題がある場合、こちらの項目
         をご確認くださいますようお願い致します。

2. スマートフォンでのWebブラウザ対応について

現在、各OSベンダがサポートを継続している OS(iOS/Android等)を用いた
スマートフォンの標準ブラウザのほとんどが既定の設定でSSL 3.0接続より
も優先して、TLS接続を用いるようになっているため、既定値のままの設定
であれば、この対策による影響を受けることはございません。

何らかの事由で、TLS1.0の接続を無効化している、もしくはTLS接続を
      サポートしていないブラウザを利用している場合、影響を受ける可能性が
      ございます。
この場合、TLS接続(TLS 1.0)を有効化して、接続するよう設定変更を
      行ないます。

回復手順については、機種ごとに異なる可能性がございますので、
対策日以降、HTTPS(SSL) 接続時に問題がある場合、
各機種のキャリアサポート窓口にご確認をいただけますようお願い
致します。

3. 携帯電話(フィーチャーフォン)でのWebブラウザ対応について

影響を受ける可能性がある携帯電話について、各社からNTTドコモおよび
au(KDDI)から情報が掲載されておりますのでご参考ください。

○NTTドコモ
  iモードブラウザ1.0 搭載の機種:影響を受けます。
  iモードブラウザ2.0 以降を搭載の機種:影響を受けません。
         https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html

○au(KDDI)
 F001 および 2012年夏以降の機種:影響を受けません。
 2012年5月以降のアップデート対象機種:影響を受けません。
 該当でない機種: 影響を受けます。
        http://www.au.kddi.com/ezfactory/web/
        http://www.au.kddi.com/ezfactory/web/pdf/sha-2_update.pdf

○ソフトバンク
 全機種: 影響を受けません。
http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html

TLS接続非対応の機種では、対策以降、HTTPS(SSL)接続が出来ません。
        恐れ入りますが、対応の機種もしくは、対応のPC/スマートフォン
        での接続をいただけますようお願い致します。

※ 対応状況につきましては、各キャリアの情報に基づくものであり、
  弊社においてすべての機種の検証を行ったものではございません。

4. PSPやPS3など家庭用ゲーム機でのWebブラウザ対応について

影響を受ける可能性がございますので、
恐れ入りますが、対応のPC や スマートフォンでの接続をいただけます
ようお願い致します。

お客様には、大変お手数をお掛け致しますが、セキュリティ事案につき、
最大限の保護をお客様およびご利用ユーザにご提供差し上げるためには
必須の対策となりますので、何卒ご理解を賜りますようお願い申しあげます。

SSLを利用したセキュア通信につきましては、今後も、TLSの上位のバージョンの
サポートや、SHA2証明書への切り替えなど、様々な観点から注力し、情報セキュリティ
対策をより一層進めていく所存でございます。

ページTOP