SSLv3 の POODLE 脆弱性への対応

米国において2014年10月14日に、安全な通信のために用いられるプロトコルの SSLv3 に深刻な設計上の問題があることが報告されました。

この脆弱性を利用すると、悪意のある第三者が暗号化された通信の内容を盗聴することが可能となり、それによってご利用のサービスの情報が漏洩してしまう可能性があります。

ヌーラボでの対応状況

ヌーラボではこの情報を確認した直後よりその影響の甚大さから、弊社が提供する全サービス及び弊社運営のウェブサイトにおける影響範囲の調査を即座に開始し、対応を行っております。

弊社が管理しているサーバにて HTTPS の通信を提供しているものについては、SSLv3 を無効化する作業を行い、10月15日12時頃に全てのサービスにおける対応を完了しました。また、AWS が提供する Amazon Elastic Load Balancing 及び Amazon CloudFront 環境においては、 CVE-2014-3566 Advisory にしたがって、こちらも SSLv3 を無効化する作業を行い、10月15日18時頃に後述の一部の環境を除いて全てのサービスにおける対応を完了しました。

なお、Backlog の一部の環境において利用している Amazon CloudFront のディストリビューションで  SSLv3 が無効化出来ておりません。こちらについては現在 AWS のサポートと連携を取りながら対応方針を検討しております。ただ、該当の環境はアプリケーションとは配信ドメインが異なることや、 CSS や画像、JavaScript ファイルなどの静的ファイルの配信のみに利用しているため、万一盗聴されたとしても影響は限定的であると考えております。こちらの対応状況については引き続きこちらのブログにてご報告いたします。

なお、本脆弱性についてはその影響範囲の大きさ及び攻撃方法が公開されていることから、事前の告知なしに SSLv3 を無効化する判断をいたしました。弊社サービスにおいては、ユーザの皆様にサービスを安心してご利用いただくため、セキュリティ問題については可能な限り迅速に最優先課題として対応する運用を行っており、ご理解賜りますようお願い申し上げます。

10月16日追記

KDDI 社による EZWeb の仕様書  (2013年4月19日更新版) によりますと、KDDI 社のフィーチャーフォンの端末は SSLv3 のみのサポートのため、該当の端末からは Backlog のフィーチャーフォン版へのアクセスが現状出来ない状況となっております。こちらも上述した通り、安全にご利用いただくための対応である旨、ご理解のほどよろしくお願いいたします。

10月27日追記

上記でお知らせしていた、SSLv3 が有効になっていた一部の Amazon CloudFront のディストリビューションにおいても SSLv3 の無効化を 10月25日15:00頃に対応完了しました。

より良いチームワークを生み出す

チームの創造力を高めるコラボレーションツール

製品をみる