セキュリティの論点

「Heartbleed」問題の原因と対策--バージョンアップとSSL証明書の再発行を - (page 3)

中山貴禎(ネットエージェント) 2014年05月10日 07時30分

  • このエントリーをはてなブックマークに追加
  • 印刷

Heartbleed脆弱性に対する対策

 OpenSSLはサーバとして機能しているシステムがその通信内容を暗号化するために用いるライブラリです。従って、サービスを利用している側の立場からは基本的に何もできません。できることと言えば、本脆弱性への対応が済んだサービスについて、ユーザIDとパスワードを変更するなどの対応と、銀行口座やクレジットカードの明細に注意するなどといった程度です。

 そしてまだ未対策のサービスでは、ログインIDやパスワードを変更しても結局は同じことになるので安心はできません。サービス側から「修正が完了したのでパスワードを変更して下さい」といった連絡があった段階で変更して下さい。また騒ぎに便乗してフィッシングの偽メールを送っている悪意ある第三者もいるので、メールのリンクは絶対にクリックしないよう気を付けて下さい。

 ちなみに、対策済みのサービスではSSL証明書が更新されているはずです。PCブラウザ経由でサービス利用している方、したことがある方については、他のブラウザでは問題ないようですが、Google Chromeについては「設定>詳細設定を表示...>HTTP/SSL:サーバー証明書の取り消しを確認する」がデフォルトでは無効になっているので、ここにチェックを入れ、本機能を有効にしておいて下さい。

 そしてサーバ運用側エンジニアの取るべき対策としては、基本的には対策済みの1.0.1gにバージョンアップすることになりますが、単にアップデートしただけでは不完全です。脆弱性のあるバージョンを使っていた場合、先にも述べたとおりSSL証明書の秘密鍵が奪取されている可能性を踏まえ、偽サーバへの対策も含めて、使用していたSSL証明書を一旦失効(revoke)させ、新たに再発行するところまで実施する必要があります。

 諸事情により今すぐにバージョンアップ作業はできないので、Heartbleed脆弱性だけをとりあえず何とかしたい、という場合は、該当バージョンのライブラリにおいて、原因になっている前述のHeartbeat機能を削除(-DOPENSSL_NO_HEARTBEATSを設定)しコンパイルし直しても、本脆弱性を取り除くことが可能です。

 また、OpenSSLはアクセスしたウェブページ上で入力された情報を暗号化するためのライブラリですので、サーバ用のOSによく用いられるLinuxディストリビューションなどに最初から搭載されているOpenSSLをそのまま利用することも多いと思います。この場合、基本的にはパッケージ更新などでOpenSSLをバージョンアップした上で、サーバ自体を、もしくはOpenSSLを利用する各サービスを再起動という手順になります。

 デフォルトで搭載されているOpenSSLが1.0.0およびそれ未満のバージョンであれば、そもそもHeartbeat機能が搭載されていないので本脆弱性に関しては問題ありません。また、サーバ用OSや各種ソフトウェア、ネットワーク機器などにOpenSSLが実装されている場合、そのバージョンが1.0.1~1.0.1eのままであっても本脆弱性については修正されていることもありますので、OpenSSLのバージョンのみ確認するのではなく、ディストリビューションパッケージ自体の方のバージョンも確認し、本脆弱性が修正されているかどうかをチェックしてください。

 前述の通り、該当バージョンより古いバージョンのOpenSSLを利用している場合は、今回のHeartbleed脆弱性の影響は受けません。しかし、だからと言ってその古いバージョンのまま運用を続けるとか、あまつさえ過去のバージョンに戻して運用するなどという選択は、他の「既知の脆弱性」をそのままに運用するということに他ならず、間違っても正しい選択とは言えません。

 例えばOpenSSL 0.9.8以前のバージョンには、SSL_OP_ALLオプションを利用した場合にSSL2.0へのバージョンロールバックを許可してしまうため、通信経路上の改竄により弱い暗号化通信方式を強制できてしまうというバージョンロールバックの脆弱性があります。また他にも、古いバージョンのOpenSSLにはバッファオーバーフローの脆弱性やサービス運用妨害(DoS)の脆弱性などが公表されています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]