極めて深刻な OpenSSL の脆弱性 「Heartbleed (ハートブリード)」バグ発見!
何が危険にさらされているのか?
研究者によると、攻撃者は、CVE-2014-0160 または Heartbleed バグを利用することで以下の情報を盗み出すことができます:
- プライマリキー (主キー):Web サイトが、ユーザーが TLS/ SSL で保護された送信で、暗号化された情報のロックを通信中に解除できるようにするための秘密キー。
- セカンダリキー (補助キー・サブキー):ユーザー名やパスワードなどの TLS/ SSL 送信で転送されたユーザーの認証情報。
- 保護されたコンテンツ:TLS / SSL 送信中に転送され、暗号化された秘密キーで保護されるべきコンテンツ。大部分の暗号化されたデータは、個人情報や財務情報といった機密情報のため、このような情報の流出は極めて深刻です。
- コラテラル:メモリアドレスやユーザー固有のセキュリティ設定など、OpenSSL のユーザーアカウントに関連するすべての技術的な情報。
対処方法は?
OpenSSL 1.0.1 から 1.0.1f を含むバージョンを使用している全てのユーザーは、直ちに OpenSSL 1.0.1g にアップグレードする必要があります。もしアップグレードが不可能な場合は、OpenSSL を -DOPENSSL_NO_HEARTBEATS でコンパイルすることでも対処できます。
CA 局 (Certificate Authority) に問い合わせてプライマリキーおよびセカンダリキーを無効化することも重要です。 Codenomicon のセキュリティ研究者によって Heartbleed Bug が発見されたものの、Heartbleed が 2012年3月14日以来からすでに流出していたことについてはあまり知られていません。実際に Heartbleed が利用されていたとしても、脆弱性の性質上、攻撃者はメモリアクセスのすべての痕跡を隠すことができました。
最も憂慮すべきなのは、OpenSSL は、インターネット上で使用されている最も人気のあるオープンソースの暗号化セキュリティサービスであるということです。 既に2年以上インターネット上に存在していたことから考えて、Heartbleed により大量の情報が侵害されている可能性があります。または、何も侵害されていない可能性もあります。犯罪の真意は、実際に誰かが Heartbleed について知っていたかどうかということです。今回、この脆弱性が公表されたことをうけ、OpenSSL の影響を受けるバージョンを使用してりるサービスプロバイダーは、早急に問題を対処する必要があります。対処しなければ、そのサーバー上のすべての情報は、Heartbleed に対するリスクが高いままということになります。
より詳しい情報を知るには?
Codenomicon は、Heartbleed の詳細な対処方法を以下のサイトで公開しています。
リンク (英語サイト)
読者は、どのようにバグを取り除くか、また、Cloundfare、Tor のプロジェクト、Ubuntu からの文書を含む、他の当局から出されているコメントへの追加リンクに関する公式な情報を得る事ができます。
良い(マルウェアのない)日をお過ごしください!
Emsisoft チーム一同
リンク
追加情報:
全世界の Web サーバー全体の約3分の2が Heartbleed の影響を受けていると推定されます。
次のサイトで、この脆弱性についてのサーバーのテストをすることができます。
リンク
GitHub にて、脆弱な人気のある Web サイトのリストも紹介されています。
リンク
このサイトによると、yahoo.com は、世界で最も人気のある電子メールサービスの一つであり、Yahoo メールの所有者がリストの一番上にあります。
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。