【重要なご案内】EC決済システムの通信に関するセキュリティ強化について |
| 最終更新日:平成28年3月30日 |
| 平素は、EC決済システムをご利用いただき、誠に有難うございます。 さて、このたび弊社では、安心・安全な決済サービスをご提供するため、インターネット通信に関するセキュリティ強化を目的として、EC決済システムにおける「暗号化通信のセキュリティ強化」ならびに「サーバ証明書のグレードアップ」を実施いたしますので、ご案内いたします。 加盟店様におかれましては、大変お手数をおかけ致しますが、何卒ご理解ご協力賜りますよう、お願い申し上げます。 |
| 暗号化通信のセキュリティ強化 〜 SSL3.0 暗号化通信を無効化します 〜 |
サーバ証明書のグレードアップ 〜 SHA-2 方式サーバ証明書へ移行します 〜 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| セキュリティ強化の背景 | ||||||
| SSL3.0 による暗号化には通信の一部が第三者に解読可能な脆弱性が存在します。このため、悪意の第三者からの攻撃により通信の一部が漏洩する可能性があることが報告されています。攻撃には一定の条件が必要になり、ただちに悪用可能なものではありませんが、弊社では、EC決済システムにおける SSL3.0 による通信を無効化することにいたしました。 | ||||||
| (ご参考)独立行政法人 情報処理推進機構(IPA)のWebサイト | ||||||
| | ||||||
| アメリカ国立標準技術研究所(NIST)では、平成28年末までに、より暗号強度の高いサーバ証明書へ移行することを勧告しており、米国のみならず全世界的に暗号アルゴリズムの SHA-1 方式から SHA-2 方式への移行が進められております。弊社EC決済システムにおきましては、SSL3.0 通信の無効化と併せて、サーバ証明書を SHA-2 方式へ移行することにいたしました。 | ||||||
| (ご参考)合同会社シマンテック・ウェブサイトセキュリティのWebサイト | ||||||
| 対象となるサービス | ||||||
| ご導入バージョン別影響内容 | ||||||||||||||||||||
| 本セキュリティ対応につきましては、ご導入いただいている各バージョンにより影響が異なります。詳しくは以下をご確認願います。(クリックするとジャンプします) | ||||||||||||||||||||
|
| ||||||||||||||||||||
| 各バージョン共通(管理画面のご利用) | ||||||||||||||||||||
| <影響> | ||||||||||||||||||||
| 弊社提供の管理画面をご利用の際、ブラウザの設定が「SSL3.0」のみを有効にしている場合は、管理画面をご利用できなくなります。 | ||||||||||||||||||||
| <ご依頼事項> | ||||||||||||||||||||
| 「TLS1.0」を有効にするように設定の変更をお願いします。なお、「TLS1.1」および「TLS1.2」については、現時点では任意設定となりますが、今後は推奨を予定しているため、貴社PCへの影響がない場合は、有効にするようお願いします。 【設定方法】InternetExplorer 11 の場合 [ツール]→[インターネットオプション]→[詳細設定]→「TLS1.0 を使用する」にチェックをいれる | ||||||||||||||||||||
| 通信モジュールバージョン | ||||||||||||||||||||
| <影響> | ||||||||||||||||||||
| 貴社システムにて「TLS1.0」による暗号化通信ができない場合、および「SHA-2 方式サーバ証明書」への認証ができない場合は、弊社EC決済システムとのサーバ間通信ができなくなる可能性があります。 | ||||||||||||||||||||
| <ご依頼事項> ※重要なご依頼事項となります。 | ||||||||||||||||||||
| 貴社システム担当者様へご確認いただき、貴社システムにて「TLS1.0以上」による暗号化通信、および「SHA-2 方式サーバ証明書」への認証を可能とするよう実施時期までにご対応をお願いします。 | ||||||||||||||||||||
| <影響> | ||||||||||||||||||||
| 現在ご提供している「C-Windows版」および一部の「.NET版」の通信モジュールは、「TLS1.0 以上」および「SHA-2 方式サーバ証明書」による認証に対応しておらず、平成28年6月以降、弊社EC決済システムとのサーバ間通信ができなくなります。 | ||||||||||||||||||||
| <ご依頼事項> ※重要なご依頼事項となります。 | ||||||||||||||||||||
| 「TLS1.0 以上」および「SHA-2 方式サーバ証明書」による認証に対応した「C-Windows版」「.NET版」の通信モジュールをご提供いたしますので、対応版モジュールへの差し替えをお願いします。対象加盟店様へは、弊社営業担当より順次ご案内しております。 ※「C-Windows版」および一部の「.NET版」以外の通信モジュールをご利用の加盟店様は差し替え不要となります。 | ||||||||||||||||||||
| ||||||||||||||||||||
| ご利用されているシステム環境が「SHA-2 方式サーバ証明書」に対応しているか不明な場合は、「セキュリティ強化専用テストURL」へテストデータを送信することで通信が正常に行われているかを確認できます。 | ||||||||||||||||||||
| @下記の「セキュリティ強化専用テストURL」に対して接続テストを行います。 既に加盟店様へご提供している「テスト用URL(通常用)」とは『b2b.』の箇所が異なります。 (下線部以降は変更ありません。IDなどのパラメータは、テスト用パラメータをご指定ください。) テスト用URL(通常用) https://b2b.test.ec.nicos.co.jp/・・・・・・・ ↓ セキュリティ強化専用テストURL https://test.ec.nicos.co.jp/・・・・・・・ Aテスト接続の結果を確認します。 弊社からの応答が確認できた場合は、ご利用環境に問題はございません。 ※弊社からの応答が確認できなかった場合は、正しく通信できない可能性があります。 貴社システム担当者様へご確認をお願いします。 ※接続テストは、実施時期(平成28年6月予定)までにご確認をお願いします。 | ||||||||||||||||||||
| サイトリンクバージョン | ||||||||||||||||||||
| <影響> | ||||||||||||||||||||
| お客様が一部の古いバージョンのブラウザのPCや、平成21年頃より以前に発売された古い携帯電話などでご利用の場合、弊社EC決済システムへ接続できなくなる可能性がございます。 | ||||||||||||||||||||
| <ご依頼事項> | ||||||||||||||||||||
| 一部の携帯電話をご利用のお客様に対して、ご利用いただけなくなる可能性があるため、PC等をご利用いただくよう、ご案内をお願いします。 | ||||||||||||||||||||
| ||||||||||||||||||||
| 古いバージョンのブラウザのPCをご利用のお客様に対して、ブラウザのバージョンを最新版に更新していただくとともに、「TLS1.0以上」による暗号化通信を有効にしていただくよう、ご案内をお願いします。なお、「TLS1.0以上」を有効にする方法は、前記[各バージョン共通(管理画面のご利用)]と同様になります。 | ||||||||||||||||||||
| ||||||||||||||||||||
| ファイルエントリー/マニュアルエントリーバージョン | ||||||||||||||||||||
| バージョン固有の影響はございません。 前記[各バージョン共通(管理画面のご利用)]をご参照のうえ、ご利用PCのブラウザ設定が「TLS1.0を使用する」にチェックがされていることをご確認ください。 | ||||||||||||||||||||
| 携帯アプリバージョン | ||||||||||||||||||||
| 一部の携帯電話におきまして接続できなくなる可能性がございます。 本バージョンをご利用の加盟店様へは、詳細が決まり次第、弊社営業担当より別途ご案内いたします。 | ||||||||||||||||||||
| その他 | ||||||
| 実施日などの詳細につきましては、決定次第ご案内いたします。 ご不明な点がございましたら、弊社営業担当までお問い合わせください。 お手数をおかけいたしますが、何卒ご理解ご協力のほど、よろしくお願い申し上げます。 | ||||||
| 以上 |
| Copyright (C) 2016 Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved. |