セキュリティー対策でTLS 1.0と1.1を無効化するサイトが増加!9月11日からはスターバックス公式サイトも――Android 4.4以前の標準ブラウザーやIE10.0以前などでhttpsページにアクセス不可へ
 |
| スタバ公式サイトがTLS 1.0と1.1を無効化!古いブラウザーを使っている人は注意 |
世界的に有名なコーヒーチェーン店「スターバックス」の日本法人であるスターバックス コーヒー ジャパンは5日、同社の公式Webサイトにおいて2017年9月11日(月)よりTLS 1.0とTLS 1.1を無効化し、TLS 1.2のみを有効化すると発表しました。
これにより、TLS 1.2に対応していないWebブラウザーを利用している場合は9月11日以降は公式WebサイトのMy Starbucksマイページなどのhttpsで通信するページにアクセスできなくなってしまいます。
なお、同社ではアクセスできなくなるWebブラウザーとしてiOS 4以前およびAndroid 4.4(開発コード名:KitKat)以前のスマートフォン(スマホ)やタブレットにおける標準Webブラウザー、Windows搭載パソコン(PC)におけるInternet Explorer 10.0以前としています。
【そもそもTLSって何?】
今回のお知らせで案内されている「TLS」とはWebページで、個人情報やクレジットカードなど、機密性の高いデータの入力を行う際に暗号化させる規格のことで、安全に通信を行うために使うために使っています。
このTLSには、複数のバージョンが存在しており、2017年9月現時点では、TLS 1.0およびTLS 1.1、TLS 1.2が実用されており、現在、TLS 1.3が策定中です。なお、TSLの前にはSSLがありました。
これらのSSLやTSLは機密性の高い情報を暗号化するために用いられているため、セキュリティー上で欠陥が存在すると問題となってしまいますが、今回無効化されるTLS 1.0とTLS 1.1にはすでに欠陥が見つかっており、機密情報が漏洩してしまう可能性があるため、各サイトで無効化する対策が取られています。
無効化後はセキュリティー的に脆弱性が見つかっておらず、より安全なTLS 1.2を利用することが推奨されています。そのため、スターバックス コーヒー ジャパンでもその問題に対処するためにTLS 1.0・1.1の無効化に踏み切ったわけですね。
なお、TSL 1.2に対応していないWebブラウザーはアクセスできなくなるわけですが、AndroidやWindowsについてはGoogleのWebブラウザー「Chrome」(Version 30以降)などの最新Webブラウザーを導入できれば、Android 4.4以前の製品でもアクセスすることができます。
またWindows PC向けWebブラウザーについては案内されているInternet Explorer 10.0以前以外にもFirefox 23以前やGoogle Chrome 29以前、Safari 6以前でも接続できなくなりますので、Firefox 24以上、Google Chrome 30以上、Safari 7以上のバージョンを利用すればOKです。
【アクセスできなくなる場合に事前にしておくことは?】
スターバックス コーヒー ジャパンでは今回のTLS 1.0・1.1で無効化されるページは「https」で始まるところで、具体的には「My Starbucksマイページ」や「スターバックス カード管理」、「Coffee Seminar申し込み」、「スターバックス オンラインストア」、「スターバックス ビジネスギフトセンター」などが挙げられています。
無効化後にアクセスできなくなってしまう環境を使っている場合ですぐに代わりのWebブラウザーが用意できない時には、以下の内容を実施する必要があります。
1)モバイル スターバックス カードについて
残高がある場合、9月11日以降も店頭で通常通りに支払いに利用できますが、オンラインでの入金や残高移行などはできなくなるため、9月10日までに必要な手続きを実施する。
オートチャージの設定変更もできなくなるため、設定解除の手続きを行うことが強く推奨されます。なお、店舗での入金は引き続き利用可能。
2)Starbucks eTicketについて
9月11日以降は、Starbucks eTicketを表示することが出来なくなるため、事前にアクセスできるパソコンで事前に印刷して店舗に持って行く。
今回の施策は、セキュリティー対策のために行われるものなので、一部の製品とWebブラウザーの組み合わせでアクセスできなくなるのは仕方のないことだと思われます。すでにTSL 1.0については2015年頃からセキュリティーの問題が指摘されており、国税庁も今年5月13日よりTSL 1.0・1.1の無効化を実施しています。
今後、スターバックス コーヒー ジャパンや国税庁など以外でも同様の施策を実施するWebサイトは多くあると思われますし、これをきっかけに新しいスマートフォン(スマホ)やPC、OSのアップグレード、Webブラウザーの変更・アップデートなどを検討してみてはいかがでしょうか。
記事執筆:YUKITO KATO
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・重要なお知らせ(2017/09/05) | スターバックス コーヒー ジャパン
・【OS】WindowsVista以前・Android4.4以前・【ブラウザ】IE9以前をご利用の方へ|国税庁
・SSLとTLSの違いと脆弱性|シマンテック