連日のようにOSやソフトウェアの脆弱性が発見され、対策が講じられていますが、少し影響の大きそうなものが出てきました。

暗号化プロトコルSSL3.0に脆弱性が発見。通信が傍受されるかも

インターネット上でショッピングやSNSの利用を行うには、個人情報や支払情報の暗号化が必須ですが、それを実現するためのプロトコル（手順）であるSSL3.0に脆弱性が見つかったと報道されています。

GoogleがSSL 3.0の脆弱性を発見 - マイクロソフトが回避策を提示も | マイナビニュース

このSSL3.0はかなり古い技術で、現在はその後継であるTLS1.0～1.2が一般的ですが、いまだに一部で使われており、ブラウザでもサポートされています。

脆弱性が悪用されると、HTTPSで暗号化された通信が傍受される可能性があるとのこと。

Microsoftでは、Internet Explorer上でSSL3.0を無効にすることを回避策として推奨

この問題は、ほぼすべてのマシンに関係するものであり、Surfaceシリーズもすべて影響を受けます。

回避策ととして、ブラウザ上でSSL3.0を無効に設定する方法が推奨されています。Internet Explorerでの手順は以下の通りです。

Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする

この脆弱性の影響を受ける SSL 3.0 プロトコルを無効にすることができます。これを行うには、Internet Explorer のセキュリティの詳細設定を変更します。

HTTPS リクエストに使用される既定のプロトコルのバージョンを変更するためには、次のステップを行います。

1. Internet Explorer の [ツール]メニューの [インターネット オプション]をクリックします。
2. [インターネット オプション]ダイアログ ボックスの [詳細設定]タブをクリックします。
3. [セキュリティ]カテゴリで、[SSL 3.0 を使用する]チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします(使用可能な場合)。
4. [OK] をクリックします。
5. 終了し、Internet Explorer を再起動します。

マイクロソフト セキュリティ アドバイザリ 3009008

デスクトップ版のIE11では、ツールバー右端の歯車アイコン→インターネットオプション→詳細設定タブで出せます。

将来的に初期設定がSSL3.0無効になっていくと思いますが、ユーザー側で直ちにできる対策として、上記を実行しておくのがよさそうです。