Microsoft、将来的にWindowsでTLS 1.0および1.1を無効化:セキュリティニュースアラート
Microsoftは近い将来、WindowsでTLS 1.0とTLS 1.1を無効すると再度通知した。これらはセキュリティリスクがあるとされており、標準化団体や規制機関が数年間にわたって非推奨または禁止を呼びかけている。
Microsoftは2023年9月1日(現地時間)、近日中に「Windows」で「TLS 1.0」と「TLS 1.1」を無効にすると再度通知した。
TLS(Transport Layer Security)はサーバおよびクライアント間の通信を暗号化するための基本的なプロトコルだ。特にTLS 1.0とTLS 1.1は現在はセキュリティ上の問題があるとされており標準化団体や規制機関が数年間にわたって非推奨または禁止を呼びかけている。
TLS 1.0と1.1、Windowsの今後のバージョンでの使用を停止
Microsoftによると、「Windows 10 Home」「Windows 11 Home」のユーザーはこの変更の影響を受ける可能性は低いとされており、主に企業に対して自社の環境でテストを実施し、影響を受けるアプリケーションを検出するとともに対応を取ることが求められる。
Microsoftは今後リリースされる新しいクライアントエディションおよびサーバエディションの双方を含むWindowsにおいてTLS 1.0とTLS 1.1の無効化を計画している。2023年9月以降の「Windows 11 Insider Preview」ビルドでTLS 1.0およびTLS 1.1が無効になる。
MicrosoftはTLS 1.2またはTLS 1.3を使うことを推奨している。ただし、使用可能な代替手段が存在しておらずTLS 1.0またはTLS 1.1を使い続ける必要があるユーザーに対してはシステムレジストリーの設定を変更することでTLS 1.0またはTLS 1.1を再度有効にする方法も提供している。
TLS 1.0を再度有効にする場合、次のサブキーの下にDWORDで「Enabled」という値を設定し、この値を「1」にすればよいと説明している。
- HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
- HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
TLS 1.0またはTLS 1.1を再度有効化する方法は提供されているが、Microsoftはこれを本当に「最後の手段」としてのみ使うように求めており、互換性のないアプリケーションをアップデートしたり置き換えたりするまでの一時的な解決策としてのみの使用を推奨している。Microsoftは上記方法による再有効化機能を将来完全に削除する可能性について言及しており、あくまでも一時的な対応として使うことのみができるものとみられている。
関連記事
- 6割の日本企業が1年で10件のインシデントに遭っている Cloudflareが最新調査を発表
アジア太平洋地域を対象にしたサイバーセキュリティ調査によると、日本の回答者の6割がこの1年で10件以上のインシデントを経験していた。 - 「福島第一原発の処理水海洋放出」への抗議を名目にサイバー攻撃が発生中
福島第一原発の処理水放出に反対するハッカー集団が日本のインフラや政府機関にサイバー攻撃を仕掛けている。ラックは今後、このサイバー攻撃が長期化、多様化する可能性があると警告している。 - クラウド侵害の半数以上は弱いパスワードのせい Google Cloud調査で判明
Google Cloudの調査によると、クラウドで発生した侵害の5件に3件以上が、アクセス管理の不備、特に脆弱なパスワードなどを原因としていたという。 - Log4jの脆弱性の影響を受ける企業も 日本の時価総額上位25社のIT資産にサイバーリスク
Tenableは日本の時価総額上位25社の12万件以上のIT資産がサイバーリスクにさらされていると報告した。中にはTLS 1.0や旧版Log4Jをまだ利用中の企業もあった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.