「Heartbleed」問題の原因と対策--バージョンアップとSSL証明書の再発行を
- 印刷
-
メール
-
ダウンロード
さまざまなメディアで既報の通り 、オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に重大な脆弱性が発見されました。これはSSL/TLSの暗号化によって保護されている情報が、特殊な環境下でなくても盗まれてしまう可能性がある脆弱性です。
この脆弱性は、本ライブラリのTLS 1.2に追加された拡張機能「Heartbeat」と呼ばれる「SSLの死活を監視する機能」の不備に起因することから、そしてもしかするとその重大さからか「Heartbleed(心臓出血)」と呼ばれるようになりました。
今回は、このHeartbleed脆弱性に関する問題をいったん整理してみようと思います。この脆弱性については、発見者であるフィンランドのセキュリティ企業、Codenomiconが公開しているウェブページ(英文)もありますので、ご興味ある方はこちらもご参照ください。
何が起きたのか
この脆弱性は、インターネット上で標準的に利用される暗号通信プロトコルである「SSL/TLS」を実装した、非常に多くのウェブサイトで利用されているオープンソースの暗号ソフトウェアライブラリのOpenSSLに存在した脆弱性です。
このOpenSSLが実際に著名サイトを含めどれだけ広範囲なウェブサイトで使用されていたか、そして本脆弱性を突いた攻撃で実際にどういう被害が出たか、などといった報道もあれこれとされていますので、すでに色々とご覧になった方も多いと思います。
なお、標準でこのOpenSSLを利用するウェブサーバは、Apacheとnginx(エンジンエックス)です。OpenSSLを利用しない一部のウェブサーバ(IBMやMicrosoft、Oracle)もあるにはありますが、どちらも非常に人気の高いソフトウェアで、この2つを6割以上のウェブサイトが使用していると言われています。
ウェブサーバ、ウェブサーバ用OS以外にも、メールサーバであったり、ロードバランサのようにSSL証明書の秘密鍵をメモリ内に保持するシステムであったり、果ては家庭用ルータやモデムといった機器であったりと、OpenSSLを利用している装置は他にも多々あります。こうした諸々についても、本脆弱性の影響を受ける可能性はゼロではありません。
また身近なところでAndroidでも、4.1.1を含む4.1.X系や4.2.2の一部が影響を受ける可能性があるという話もあります。4.1.2以降ではHeartbeat機能は無効化されているはずなのですが、この話が事実なら、一部そうではない実装の端末が存在するという事かと思われます。
先にも述べましたが、この脆弱性は拡張機能である「Heartbeat」機能の処理における不備が原因で、プログラム上のミスによる欠陥ではないかと考えられています。そしてこの機能は、2012年3月14日にリリースされたバージョン1.0.1から、2014年4月7日にリリースされた本脆弱性対策済みの1.0.1gより以前のバージョンである1.0.1fまで、そしてベータ版である1.0.2beta~1.0.2beta1に搭載されています。
困ったことにこれらのバージョンでは、SSLで通信しているシステムのメモリ内にある、クリアされずメモリ上に残っていた情報を最大64Kバイトの単位で何度でもくり返し取得可能なのです。
関連記事
-
IE脆弱性への回避策とは--Tips
-
セキュリティは“継続監視”が求められている--米Tenable日本市場参入の理由
-
コイニー、OpenSSLの「Heartbleed」脆弱性に対処
-
ヒトからマシンへ--未来につながるウェアラブルデバイス14選
-
世界を大きく変えた11のテクノロジ
「セキュリティの論点」 バックナンバー
あなたにおすすめのホワイトペーパー
- 人気キーワード
- 経営
- セキュリティ
- クラウドコンピューティング
- 仮想化
- ビジネスアプリケーション
- モバイル
SpecialPR
-
Surface Pro 2 128GB 単体モデルが当たるキャンペーン実施中
ZDNetJapanでは2014年5月26日まで春の新生活応援企画として読者キャンペーンを実施しております。応募はこちらから
企画特集PR
-
5/27 主催セミナーを開催
「情報共有の効率化」をテーマに
セミナーを開催いたします。
是非お立ち寄りください。
-
サポート終了のXP端末をどう守る?
情シス部門の担当者としても見逃せない
XPのセキュリティ確保に有効なツールとは -
セキュリティ対策は「現場任せ」?
持ち運べるセキュリティツールの力(後篇)
「集中管理モード」で脅威への対応を一元化 -
先進的な起業家を全力サポート
製品無償提供から技術支援・市場展開まで、
あらゆる局面で起業家をサポートするIBM -
いつもの Google をそのまま社内で
Google の社内ポータルで3万人が活用する
社内検索、その活用方法と事例を紹介 -
「セキュリティの隙間」に危険が!
持ち運べるセキュリティツールの力(前篇)
XPサポート終了後の環境に迫る脅威を防ぐ! -
仮想化基盤シェアナンバーワン!
スタンダードとなった「Hyper-V」
マイクロソフトが繰り出す次の一手は!? -
基幹業務にインターネットを活用!
アカマイCTO×ZDNet編集長
インターネットで実現できるコトとは? -
最新Java EE開発“虎の穴” 第3回
CDIが業務システム開発にもたらすメリット
そして、EJBとの使い分けは? -
MS社も導入したサイバー攻撃対策
FortinetとA10がタッグを組んだ!?
5/23東京・27大阪・28名古屋で全貌が判明! -
SMBを狙った標的型攻撃を阻止せよ
最新サンドボックス技術を実装したUTM製品
中堅・中小企業に万全のセキュリティ対策を -
「君さ、明日からクラウド担当ね」
いきなりのムチャぶり、対応できますか?
突如担当になったヨシダ。さて、どうする?! -
クラウドによる本当の「革新」
ビジネス・イノベーションの実現のために
Salesforce1 Platformのコンセプトに迫る -
ビッグデータの活用基盤のこれから
ITR生熊氏、統計家西内氏も講演
SQL Server 2014 発売記念フォーラム -
正式リリース!Java SE 8
開発者注目の6つの新機能と必読ドキュメント
新版最大の目玉はラムダ式! -
ウイルス対策の新しい切り口
クローズド環境でのウイルス対策の決定版
新製品TMPS2の情報・活用事例が満載! -
組込み開発の需要が高まるIoT時代
なじみのあるC言語とVisual Studioの活用で
組込み開発やアプリ開発も効率よく! -
グループウェア導入を阻む壁を整理
見えない「思い込みの壁」を打破する
グループウェアの教科書 -
魔法の機能でDB運用を“らく”に
OracleDatabase12cで管理者を面倒から解放
クイズに答えるとオラクルグッズプレゼント -
どこでも同じ環境を!
クラウド時代もOracle WebLogic Serverが
企業のアプリケーション資産を保護する -
企業でのタブレット活用のシナリオ
活用事例も増え「旬」を迎えたタブレット
企業で導入するメリットと選び方を紹介 -
情報ツールの主役はモバイルに!
アプリケーション開発から保守・管理・運用
モバイル端末の利点を最大化するためには -
なにが本当の経済性かを再考する!
いまでも単純な量単価で考えていませんか?
最先端ストレージが提供する真の経済性 -
次世代を拓くソフトウェアの力
ビジネスの新たな潮流を生み出すSMACS
IT活用の答えがここにある! -
社内のIT環境の「不便」を解消
「自由」で「便利」な環境を作るための
「Officeソフト」クラウド化のススメ -
BYODの成功は全端末の一元管理が肝要
ZDセミナーでクオリティソフト山﨑氏が講演し、
BYODのルール策定の必要性と具体策を提示した。 -
[講演]罠を仕掛け攻撃者の指紋を採れ
ZDNetセキュリティセミナーにおいてジュニパー
ネットワークスが最新手法をデモで紹介した。 -
【実践してみた】BYOD導入のカギとは
日本ユニシスはZDセミナーで講演し、自社でBYOD
を実践し得られた利用動向やノウハウを披露した -
最新リスクマネジメントの考え方とは
すべてのサイバー攻撃を守ることは不可能に近い
生産性をおとさないリスクマネジメントとは? -
シャドーITの蔓延を防ぐ!
3ステップで作る企業のITインフラとは?
-
リリース
航空宇宙産業のイノベーションを支えるAltair HyperWorks
アルテアエンジニアリング株式会社
-
イベント
短縮版 Windows 8 の構成(#23687)
NECラーニング株式会社
-
企業ブログ
「第16回データストレージEXPO」のEchoStreams様ブースにて「Adaptec 8,7シリーズ」で実現する超高速・高密度SSD/HDDサーバソリューションを展示!
ピーエムシー・シエラ・ジャパン株式会社
ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。