HEARTBLEED：ハートブリード OpenSSL脆弱性

HEARTBLEED：ハートブリード

2014年4月7日、サイバーセキュリティの研究者がハートブリードバグ（CVE-2014-0160）を発表しました。

ハートブリードバグとは、暗号機能の実装等に広く利用されているOpenSSLに存在する脆弱性のことです。

OpenSSLは、SSL/TLSを実装するための標準的なライブラリであり、有名なウェブサイトの大多数で利用されています。

動作の仕組み

ハートブリードバグが存在するOpenSSLは多種多様のアプリケーションやOSに同梱されており、SSLベースのVPNといったハードウェア上のアプリケーションも影響を受けます。

攻撃者はSSL/TLSハートビート拡張の実装の欠陥悪用により、サーバ上の65,535バイトまでのメモリにアクセスができます。攻撃者はメモリに保持されている任意のデータにアクセスし情報を窃取しますが、メモリのどの部分にアクセスするかは選択できません。

そのため、窃取した情報が役に立たない場合もありますし非常に重要なデータの場合もあります。

メモリに格納されている情報にはデータの暗号化や復号に使用されるプライマリキーやセカンダリキー、その他にもメールの送受信内容やサイトにログインするためのユーザIDやパスワード、個人情報、財務情報等を攻撃者は窃取できる可能性があります。

OpenSSLのバージョン 1.0.1から1.0.2-betaに脆弱性があり、これには、2014年4月7日までにリリースされた最新のバージョン1.0.1fも含まれております。

最も古いバージョンは2012年2月22日にリリースされた1.0.1-beta1であり、このバグは2年以上にわたって存在し、パッチも提供されず攻撃が可能な状態であったということです。なお、OpenSSL 0.9.8と1.0.0 branchesには脆弱性はありません。

対応と対策

OpenSSLは、脆弱性を修正したバージョン1.0.1gをリリースしました。組織としては次のような意思決定を行う必要があります。

• 外部に公開しているサーバや重要なデータを保管しているサーバを最優先に、影響を受けるサーバやデバイスをすぐにアップデートする。
• 問題が解決されるまでは脆弱なウェブサイトに接続しない。ウェブサイトのアップデートが確認できるまではウェブサービスへのログインを避け、ウェブサイトのアップデート後にパスワードを変更する。

パッチの適用後、SSL秘密鍵を失効させ再設定するかを決定する必要があります。対応に必要な時間や労力を考え、資産の重要性により優先度を設定した対応が求められます。

また、事業に重要なシステムであるため適時のアップデートが行えない場合は、WAF（Web ApplicationFirewall)やIPS（Intrusion Prevention Systems）、IDS（Intrusion Detection Systems）といった追加コントロールによる代替手段の検討が望まれます。

ハートブリードバグに関連するIDSのシグネチャ（検知ルール）※1も複数報告されており、早急な対応が望まれます。

また、PoC（Proof of Concept）※2では、脆弱性のあるOpenSSLが起動しているサイトかどうかをテストするためのツールを公開しています。利用にあたっては利用者の責任で実行する必要がありますが、自身のサイトの安全性をテストするには有効な選択肢といえます。

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>>　オンラインフォームよりお問い合わせを行う　<<