2017年2月16日

株式会社Doctor Web Pacific

Doctor Webのテクニカルサポートには、安全でないSSLv2プロトコルを使用したオンラインバンキングアプリケーションを利用するDr.Webユーザーからの多くの問い合わせが寄せられています。これらの質問に回答し、今後ユーザーの方が問い合わせを行う必要のないよう、この問題に関する詳細をご説明いたします。

現在、SSLv2には複数の脆弱性が存在するため、そのプロトコルならびにそれを使用したアプリケーションは安全ではありません。

中でも特に、このプロトコルを使用するシステムはMITM（man-in-the-middle）攻撃（中間者攻撃）のほか、データ送信に影響を与えるような攻撃を受けやすくなります。また、SSLv2のMD5ハッシュアルゴリズムも危険に晒されているため、使用は推奨されません。

SSLv2が安全でないということは以前より知られています。1996年には既にSSLv3に置き換えられていますが、これにもまた脆弱性（CVE-2014-3566）があることが判明しています。SSLv2はRFC 6176によって2011年に正式に廃止されています。そのため、SSLv2経由で接続が確立されると、Dr.Webはその危険性についてユーザーに通知します。

Dr.Webユーザーから寄せられたサポートリクエストから、一部のオンラインバンキングアプリケーションで安全でないSSLv2が未だ使用されているということが明らかになっています。該当する銀行のカスタマーサポートでは、アプリケーションに問題が発生した利用者に対し、Dr.Webをアンインストールするよう指示するケースが見受けられますが、これにより、自行の利用者の預金を危険にさらしてしまうことになりかねません。

Doctor Webでは、安全でないアプリケーションのアップデートを行うことをお薦めします。利用可能なアップデートが無い場合、 Dr.Webの設定内で安全でないプロトコルの使用を許可することで、それらのプロトコルを使い続けることが可能です。

オンラインバンキングアプリケーションを使用する場合、安全な通信を使用しているかどうかを銀行に問い合わせ、SSLv2またはSSLv3を使用していた場合はアプリケーションの使用を拒否するようにしてください。

現在、推奨されるプロトコルはTLS v.1以降となっています。