SSLv3の脆弱性(POODLE)への対応について

この度GoogleによりSSL通信における暗号化プロトコルであるSSLv3についての脆弱性が公開されました。

本脆弱性は、該当するSSLの暗号化プロトコルを利用している場合に通信内容が第3者に漏洩する可能性があるものです。 SSLによる通信を行っていても通信内容に含まれるクレジットカード番号などの情報が漏洩するおそれがあります。

この暗号化プロトコルを利用している環境は限られており、クライアントサイドではWindows XP上のInternet Explore 6が該当しますが、 WebPayでは、SSLv3による通信を許可している状態となっておりますため

  • 2014/11/04 0:00 JST

を以って本暗号化プロトコルを利用できないように致します。 それにより

  1. WebPayへのSSL通信でSSLv3が利用できなくなる
  2. WebPayからのSSL通信でSSLv2、SSLv3を利用しなくなる

という影響がございます。

ユーザの皆様のサービス、サイトにおいては以下の対応を行って下さい。

  1. サーバサイトからWebPayへのSSL通信でSSLv3の利用を辞め、TLSv1など安全な暗号化プロトコルを利用する(通常、SSLv3が利用されていることが考え難いです)
  2. Webhookによる通知の受け取りを行うサーバ側でのTLSv1など安全な暗号化プロトコルを有効にする(通常有効になっていないことが考え難いです)
  3. 利用者の方のWindowsXP + Internet Explore 6による決済の情報送信を停止する

私どもより提供しているWebPay.js、CheckoutHelperなどでは該当する環境で動作しないため影響はございません。 なお、WebPay.js、CheckoutHelperについては通信の内容の暗号化を併用しているため、今後同様の脆弱性が発生した場合にすぐに情報が漏洩してしまうような事態を回避出来るようにしております。

クレジットカードおよび個人情報などの漏洩を回避するためにも、ご対応頂けますようお願い致します。