ACMS Apex SFTP手順のセキュリティ強化対策に関するお知らせ
拝啓 貴社ますますご盛栄のこととお慶び申し上げます。平素は格別のお引き立てをいただき、厚く御礼申し上げます。 さて、2022年1月にIETF※1がRFC 9142※2「SSHの鍵交換方法の更新と推奨事項」を公開しました。これに伴いACMS Apex V1.6_p10以降のSFTP手順オプション(以下、SFTP手順)をご利用のお客様を対象に、セキュリティ強化対策およびRFC 9142推奨事項に対する設定についてご案内いたしますので、お客様のセキュリティーポリシーに合わせご対応いただきますようお願い申し上げます。 なお、ご不明な点などございましたら、弊社カスタマー・サポート・サービスまでお問い合わせください。今後とも弊社および弊社製品を、何卒よろしくお願い申し上げます。
※1 Internet Engineering Task Force、インターネット技術の標準化を推進する任意団体※2 Key Exchange (KEX) Method Updates and Recommendations for Secure Shell (SSH) https://www.rfc-editor.org/info/rfc9142
記
■ 対象 ACMS Apex V1.6_p10以降にてSFTP手順をご利用のお客様
■ SFTP手順での鍵交換方法の初期設定について ACMS Apex V1.6_p10以降のSFTP手順ではセキュリティ強化、通称「Logjam攻撃※3」への対策を目的として下表のとおり鍵交換方法の初期設定を変更しました。
#1、2がV1.6_p10以降で変更されました。
※3 1024bit以下の鍵長によるDiffie-Hellman(DH)鍵交換の脆弱性を使った攻撃
■ SFTP手順ご利用に際しての事前確認のお願い ACMS Apex V1.6_p10以降でSFTP手順をご利用いただく場合、上表の初期設定がお客様のセキュリティーポリシーに合致するかと、通信相手先に上表#1、2の変更による通信の可否を事前にご確認ください。 初期設定がお客様のセキュリティーポリシーに合致しない場合や通信相手先が当初期設定による通信に対応できない場合には、以下の対処をお願いいたします。
■ RFC 9142 推奨事項への対応 RFC 9142推奨事項への対応のため、鍵交換方法「diffie-hellman-group1-sha1」および「diffie-hellman-group-exchange-sha1」を無効化(RFC 9142では「diffie-hellman-group1-sha1」および「diffie-hellman-group-exchange-sha1」は非推奨)する必要がありますので、以下のプロパティ設定をお願いいたします。なお、当設定は、上表#1、2の鍵長下限値が2048の場合に有効となりますのでご注意ください。
【SFTPサーバの場合】 以下のプロパティを着信リスナーに指定(着信リスナーの再起動で設定が反映) comm.sftp.server.kex=diffie-hellman-group-exchange-sha256,
diffie-hellman-group14-sha1
【SFTPクライアントの場合】 以下のプロパティを通信ユーザに指定(次回の発信通信時に設定が反映) comm.sftp.client.kex=diffie-hellman-group-exchange-sha256,
diffie-hellman-group14-sha1
<注意>
- 複数行で記載していますが、設定時は改行せず1行で記載してください。
- システム全体の挙動を変更する場合はsystem.propertiesに指定してください。
■ 初期設定の変更 通信相手先が上表の初期設定による通信に対応できない場合には、以下の設定をお願いいたします。なお、当設定変更は、Logjam攻撃の脆弱性リスクが顕在化することになるため、お客様セキュリティーポリシーに合わせてご判断いただけますようお願いいたします。
【SFTPサーバの場合】 以下のプロパティを着信リスナーに指定(着信リスナーの再起動で設定が反映) comm.sftp.server.allow.dhg1.kex.fallback=true
【SFTPクライアントの場合】 以下のプロパティを通信ユーザに指定(次回の発信通信時に設定が反映) comm.sftp.client.dhgex.keylength.min=1024
<注意>
- システム全体の挙動を変更する場合はsystem.propertiesに指定してください。
■ 参考:ACMS Apex V1.6_p10 リリースノート抜粋6.鍵交換アルゴリズムのセキュリティ強化以下の鍵交換アルゴリズムにおいて、Logjam攻撃対応の位置づけで利用可能な鍵長の下限を1024から2048に変更しました。
- - diffie-hellman-group-exchange-sha256
- - diffie-hellman-group-exchange-sha1
なお、本セキュリティ強化によって通信ができない通信相手が存在する場合は以下のプロパティにより従来の挙動に戻すことが可能です。
- - comm.sftp.server.allow.dhg1.kex.fallback=true
- - comm.sftp.client.dhgex.keylength.min=1024
以上
【お問い合わせ先】
カスタマー・サポート・サービス契約をお持ちのお客様
Webサポートシステムからお問い合わせください。
|