対応バージョン：すべての製品
対応OS：全てのOS

CVE-2014-3566「POODLE: SSLv3.0 脆弱性」の影響について弊社製品の
対応状況を記載します。以下よりご利用の製品を選択してください。

■i-FILTER

■i-FILTER Reporter

■i-FILTER Log Search

■m-FILTER

■D-SPA

■FinalCode

■i-FILTER ブラウザー&クラウド


□ クライアント（ブラウザー）側による対応



■i-FILTER
──────────────────────────────────
■影響の有無

　SSL Adapter デコード非対象通信（CONNECT通信）

　　ご利用のブラウザー設定に依存します。
　　ブラウザー側で「SSL 3.0」を利用している場合は、脆弱性の影響を受ける可能性があります。
　　ブラウザー側の対応方法は、こちらをご確認ください。

　SSL Adapter デコード対象通信

　　ブラウザー設定に関係なく、「i-FILTER」側でSSL Adapter有効時の通信で
　　SSL 3.0を有効にしている場合に影響を受けます。

　　※SSL Adapterは、Ver.8までは有償オプション、Ver.9では
　　　標準搭載(デフォルト有効)となります


・対応（SSL Adapter デコード対象通信）

　［Ver.9］［Ver.8］
　　管理画面にてSSL 3.0 を無効にすることで対応が可能です。設定変更後、
　　「保存」ボタンをクリックしてください。設定の反映にはサービス再起動が必要です。

　「設定箇所」
　［ オプション / SSL Adapter / 基本設定 ］
　
　※画像は「i-FILTER Ver.9」管理画面です


　［Ver.7］
　　「i-FILTER Ver.7」では使用するプロトコルを選択することができません。
　　「i-FILTER Ver.7」かつSSL Adapter をご利用の場合、現状での対応には以下をご検討ください。

　　・「i-FILTER Ver.8」以降へのバージョンアップ
　　・SSL Adapter 無効化の上、ブラウザー側での対応を実施


■「i-FILTER」管理画面への通信

　SSL管理画面（デフォルト無効）を有効にしている場合、暗号化プロトコルにSSL 3.0が
　使用されているため、脆弱性に該当します。

　ただし、管理画面への通信は基本的に社内ネットワークの通信を想定しており、
　この場合、脆弱性の影響は少ないものと考えます。

　脆弱性への対応を行う場合は、「i-FILTER」へアクセス可能なIPアドレスを制限し、
　アクセスするブラウザ側で「TLS 1.1」や「TLS 1.2」に固定してください。

　　※詳細な設定についてはブラウザの提供元へご確認ください


■ライセンス管理サーバーへの通信

　2014年11月4日午前11時より、ライセンス管理サーバーに対する「SSL 3.0」通信の
　無効化対応を実施しています。




■i-FILTER Reporter
──────────────────────────────────
HTTPS通信を使用しない製品のため、本脆弱性には該当しません。





■i-FILTER Log Search
──────────────────────────────────
ライセンス管理サーバーへの通信のみ、HTTPS通信を使用していますが、
2014年11月4日午前11時より、ライセンス管理サーバーに対する「SSL 3.0」通信の
無効化対応を実施しています。




■m-FILTER
──────────────────────────────────
［Ver.4］
　最新バージョンにて、本脆弱性の対応「TLS_FALLBACK_SCSV」機能を搭載しています。

　■TLS_FALLBACK_SCSV使用

　TLS_FALLBACK_SCSVとは、クライアント側が上位のプロトコルバージョン（TLS1.2等）に
　対応していない場合に、サーバー側がプロトコルバージョンのレベルを下げて
　（フォールバック）通信を行うのを制限する機能となります。

　この対応を行うためには、サーバーとクライアントの両方で対応している必要があります。

　「m-FILTER」のサーバー機能（HTTPSやSMTPSなど）では自動的に有効となります。
　「m-FILTER」のクライアント機能（メール配送など）ではパラメータを有効にすることにより
　フォールバックの制限が有効となります。

　「m-FILTER」のサーバー機能では、上位のプロトコルバージョンはTLS1.2となるため、
　TLS_FALLBACK_SCSVに対応したクライアントは、TLS1.2で接続要求した場合のみに
　接続が可能となります。

　例1.
　　外部のアプリケーションから「m-FILTER」に接続する場合（サーバー機能）
　　TLS_FALLBACK_SCSVに対応した外部のクライアント（ブラウザーや
　　メールクライアントなど）はTLS1.2で接続要求した場合に接続が可能となり、
　　TLS1.1やTLS1.0では接続不能となります。

　　外部のクライアントがTLS_FALLBACK_SCSVに対応していない場合はTLS1.1や
　　TLS1.0であっても接続は可能となります。

　例2.
　　「m-FILTER」から外部のメールサーバーに接続する場（クライアント機能）
　　TLS_FALLBACK_SCSVを有効にした「m-FILTER」から、TLS_FALLBACK_SCSVに
　　対応したメールサーバー（TLS1.2）に接続する場合、通信暗号化設定が自動または
　　TLS1.2の場合に接続が可能となり、TLS1.1以下のバージョンでは接続不能となります。

　　「m-FILTER」または外部のメールサーバーがTLS_FALLBACK_SCSVに対応していない
　　場合はTLS1.1以下のバージョンであっても接続は可能となります。

　　「パラメータ有効方法」

　　　1. 設定ファイル編集
　　　　「ファイルパス」
　　　　　<インストールディレクトリ>/conf/mf_eweb.def
　　　　
　　　　「対象パラメーター」
　　　　　TLS_FALLBACK_SCSV_ENABLE = ON

　　　2. 「m-FILTER」サービスを再起動

　「TLS_FALLBACK_SCSV」機能を使用しない場合、もしくは「Ver.4.10R01」以前の
　バージョンでは、管理画面へのアクセスおよび、メール通信にＳＳＬ 3.0が
　指定されている場合に以下の対応をご検討ください。

　■対応（メール通信）

　　SMTP、POPいずれかで暗号化通信を有効にしている場合は、
　　暗号化通信を「TLS 1.1」や「TLS 1.2」に設定する必要があります。

　　 ・メール送信サーバー設定
　　

　　 ・POPサーバー設定
　　

　■対応（管理画面通信）

　　HTTPS通信を行っている場合、下記いずれかの対応が必要になります。

　　1 HTTPS通信プロトコルを変更

　　　「m-FILTER」管理画面で使用するHTTPS通信プロトコルを「TLS 1.1」もしくは
　　　「TLS 1.2」に変更することができます。
　　　
　　　・対象ファイル
　　　｛インストールディレクトリ｝/conf/mf_eweb.def

　　　・パラメーター

　　　--管理画面-------------------
　　　HTTPS_SSL_VERSION = SSL23
　　　　↓
　　　HTTPS_SSL_VERSION = TLS2
　　　　or
　　　HTTPS_SSL_VERSION = TLS3
　　　-----------------------------

　　　--利用者向けメール管理画面----------------
　　　RWEB_HTTPS_SSL_VERSION = SSL23
　　　　↓
　　　RWEB_HTTPS_SSL_VERSION = TLS2
　　　　or
　　　RWEB_HTTPS_SSL_VERSION = TLS3
　　　---------------------------------------

　　　 　TLS2 ・・・ TLS1.1を設定する場合
　　　 　TLS3 ・・・ TLS1.2を設定する場合
　　　　※設定反映にはサービス再起動が必要です

　　2 IPアドレスによる制限

　　「m-FILTER」へアクセス可能なIPアドレスを制限し、アクセスするブラウザ側で
　　「TLS 1.1」や「TLS 1.2」に固定する

　　　※ブラウザー側の対応方法は、こちらをご確認ください。


［Ver.3］［Ver.2］
　SSL 3.0による通信は行われないため、脆弱性の影響はありません。


■ライセンス管理サーバーへの通信

　2014年11月4日午前11時より、ライセンス管理サーバーに対する「SSL 3.0」通信の
　無効化対応を実施しています。






■D-SPA　
──────────────────────────────────
■影響の有無

　・SSL Adapter デコード非対象通信（CONNECT通信）

　　ご利用のブラウザー設定に依存します。
　　ブラウザー側で「SSL 3.0」を利用している場合は、脆弱性の影響を受ける可能性があります。
　　ブラウザー側の対応方法は、こちらをご確認ください。

　・SSL Adapter デコード対象通信

　　ブラウザー設定に関係なく、「i-FILTER」側でSSL Adapter有効時の通信で
　　SSL 3.0を有効にしている場合に影響を受けます。

　※SSL Adapterは、Ver.8までは有償オプション、Ver.9では
　　標準搭載(デフォルト有効)となります

　　参考：「SSL Adapter」紹介サイト
　　http://www.daj.jp/bs/i-filter/old/option_relation_ssl_adapter/


■対応（SSL Adapter デコード対象通信）

　管理画面にてSSL 3.0 を無効にすることで対応が可能です。設定変更後、「保存」ボタンを
　クリックしてください。設定の反映にはプロキシ再起動が必要です。

　「設定箇所」
　［ プロキシ設定 / SSL Adapter / 基本設定 ］
　


■「i-FILTER」管理画面への通信

　SSL管理画面（デフォルト無効）を有効にしている場合、暗号化プロトコルにSSL 3.0が
　使用されているため、脆弱性に該当します。

　ただし、管理画面への通信は基本的に社内ネットワークの通信を想定しており、
　この場合、脆弱性の影響は少ないものと考えます。

　脆弱性への対応を行う場合は、「i-FILTER」へアクセス可能なIPアドレスを制限し、
　アクセスするブラウザ側で「TLS 1.1」や「TLS 1.2」に固定してください。

　　※ブラウザー側の対応方法は、こちらをご確認ください。

■ライセンス管理サーバーへの通信

　2014年11月4日午前11時より、ライセンス管理サーバーに対する「SSL 3.0」通信の
　無効化対応を実施しています。




■FinalCode
──────────────────────────────────
　Finalcode では、ASPサーバー(クラウド版)との通信にHTTPSを使用していますが、
　2014年11月4日午前11時より、「SSL 3.0」通信の　無効化対応を実施しています。



■i-FILTER ブラウザー&クラウド
──────────────────────────────────
［Windows版 Ver.3.0］

　ご利用のブラウザー設定に依存します。
　ブラウザー側で「SSL 3.0」を利用している場合は、脆弱性の影響を受ける可能性があります。
　ブラウザー側の対応方法は、こちらをご確認ください。

［Windows版 Ver.3.5］

　ブラウザーからクライアント内部のi-FILTER を経由後にHTTP リクエストをします。
　この際、「TLS」「SSL 3.0」両方の暗号化通信に対応しています。
 
　接続するWebサイトがTLS対応している場合はTLSで通信が行われます。
　「SSL 3.0」にのみに対応している場合は「SSL 3.0」で通信がおこなわれます。

　「TLS」「SSL 3.0」両方に対応している場合は、通常TLSで通信が行われますが、
　「SSL 3.0」で通信がおこなわれる可能性もあります。

［Android版］
　
　ご利用のOSに依存します。
　OS側でSSL3.0を利用するように設定されている場合は、脆弱性の影響を受けます。
　
　本脆弱性の影響や対応方法等、詳細はOSサポートにご確認ください。

［iOS版］

　ご利用のOSに依存します。
　OS側でSSL3.0を利用するように設定されている場合は、脆弱性の影響を受けます。
　
　本脆弱性の影響や対応方法等、詳細はOSサポートにご確認ください。

［サーバー側(ライセンス管理サーバー、管理画面、端末登録サーバー等)］

　サーバー通信にHTTPSを使用していますが、2014年11月4日午前11時より、
　「SSL 3.0」通信の　無効化対応を実施しています。



□ クライアント（ブラウザー）側による対応
──────────────────────────────────
※ 手順や発表内容の詳細については、各ブラウザー提供元にご確認ください

　・Internet Explorer

　Internet Explorerでは、「マイクロソフト セキュリティ アドバイザリ 3009008」に
　よって、SSL 3.0 のサポートを無効にできます。

　手動で設定変更する場合には、
　［ ツール / インターネットオプション / 詳細設定（タブ） ］から「SSL 3.0を使用する」を
　無効にします。


　・ FireFox

　Mozillaは11月25日にリリース予定の「Firefox 34」でSSL 3.0のサポートを
　無効にすると発表しています。　

　現行バージョンでは、以下の手順にて「SSL 3.0」を無効にできます。

　1　検索バーに「about:config」を入力し、「プログラムの高度な設定」を実施
　
　2　「security.tls.version.min」の値を「1」に設定無効にします。

　　※ security.tls.version.min が表示されない場合は、FireFoxの
　　　 バージョンアップをご検討ください


　・ Chrome

　Google Chromeでは、近日中の対応を発表しています。

　現行バージョンでは、以下のコマンドでChromeを実行することで利用する最も低い
　暗号化プロトコルを「TLS 1.0」に設定できます。

　Chrome.exe -ssl-version-min=tls1