1. OpenSSLの脆弱性に関する注意喚起:バグ 「Heartbleed」

OpenSSLの脆弱性に関する注意喚起:バグ 「Heartbleed」

  • このエントリーをはてなブックマークに追加

※こちらの記事は2014年4月8日に投稿されたものを、GMOグローバルサインスタッフが翻訳したものです。

2014年4月7日の米国時間午後、非常に深刻な脆弱性“Heartbleed“と呼ばれるバグがOpenSSL(OpenSSL 1.0.1 - 1.0.1f及びOpenSSL 1.0.2-beta - 1.0.2-beta1)に発見され公表されました。OpenSSLは、非常に広く使用されているオープンソースの暗号化ライブラリです。Nginx またはApacheの利用者は高確率でOpenSSLを稼働させており、悪意のある第三者がウェブサーバのメモリからデータを取得することが可能になるため、“Heartbleed“の脆弱性はOpenSSLのユーザが非常に深刻に受け止めるべき内容です。

ウェブサーバの秘密鍵のような機密情報のみならず、顧客情報などメモリ内に保存されているすべての重要情報もリスクとなります。さらにウェブサーバのみでなく、OpenSSLを利用する SSLベースのVPNにもリスクが潜んでいます。攻撃者が通信記録を解読して(Perfect Forward Security (PFS)が設定されてない場合)機密データを盗み取るためにその秘密鍵は使用可能なため、攻撃者は関連サーバになりすますこともでき、このタイプの重要データへのアクセスは非常に大きな危険を伴います。

対応方法

OpenSSLご利用の方々へ以下を強く推奨いたします。

  • OpenSSLのバージョンを確認し、それらのシステムを適切に修復されたバージョン“OpenSSL 1.0.1g”へアップグレードしてください。
  • 影響を受けたサーバにインストールされているSSLサーバ証明書は、新しい秘密鍵で再発行を行い、新しい証明書をインストールしてください。また古い証明書は失効してください。

グローバルサインでは証明書の無償再発行が可能です。グローバルサインの証明書をご利用中のお客様で、”Heartbleed”バグに影響された場合は、再発行のお手続きについてをご覧ください。

※OpenSSLはSSL/TLSプロトコルのオープンソース実装ライブラリです。詳細はこちらへ:www.openssl.org

  • このエントリーをはてなブックマークに追加

この記事を書きました

Doug Beattie

Doug Beattie
所属:Vice President, Product Management, GlobalSign Inc.
>>Doug Beattieの記事一覧