セキュリティの論点

「Heartbleed」問題の原因と対策--バージョンアップとSSL証明書の再発行を - (page 4)

中山貴禎(ネットエージェント)

2014-05-10 07:30

 やはりバージョンアップが推奨される

 こうしたリスクを放置して旧バージョンを使い続けるのは、当然ですが決して推奨されません。一時的にであればHeartbeat機能削除でも回避できますが、本質的にはやはり1.0.1gへのバージョンアップをお勧めします。

 また、TLSにおける、認証に使う鍵と鍵交換の鍵が別になる「Forward Secrecy」の利用も、最悪のパターンであるSSL証明書の秘密鍵流出へのカウンターとして一定の効果が見込めます。さらに一定時間毎に異なる鍵で定期的に鍵交換を実施し「将来的にも完全に機密が保護される(Perfect Forward Secrecy:PFS)」という機能も、一部ウェブサイトや製品などですでに利用されています。SSL/TLSでは、Forward Secrecy=鍵交換にECDHやDHを使用する設定、Perfect Forward Secrecy=鍵交換にECDHEやDHEを使用する設定にすると有効となります。

 まとめると、運用側の対策としては

  • 1.0.1gにバージョンアップもしくはHeartbeat機能を削除することで脆弱性をなくし、サービスを再起動する
  • 偽サーバへの対策も含めて、使用していたSSL証明書を一旦失効(revoke)させ、新たに再発行する
  • SSL処理とアプリケーションコードのプロセスを分ける
  • 鍵交換にECDHEやDHEを使用する設定にする

 といった感じです。少なくとも上の2つは必須ですし、今後を考えて下の2つも実施を推奨します。

 この脆弱性が発覚して以降、さまざまなウェブサーバに対してこの脆弱性の存在を確かめる通信が多数観測されており、現在も続いています。JPドメインは、この脆弱性が最も多かったドメインの1つと言われており、今後も未対策のサービスを狙う行為は続くと思われます。

 また、先に述べたようにこの一連の騒ぎに便乗してフィッシングの偽メールを送っている悪意ある第三者が存在しますが、こうしたフィッシング行為が今後ますます増える可能性は高いと言わざるを得ないでしょう。この脆弱性に直接的に起因するリスクではありませんが、案件が案件だけについついメール内のリンクをクリックしてしまう可能性が高く、リスクとしては非常に高いと感じます。

 再度書きますが、こうしたメール内のリンクはクリックせず、直接そのサービスにアクセスして真偽を確認するように心がけて下さい。

 直接的か間接的かは別にすると、残念ながら今後もこういった「Heartbleedの影響に関連した問題」は、当分続くものと思われますのでご注意下さい。

中山貴禎
トヨタや大手広告代理店など、さまざまな業界を渡り歩き、2010年1月よりネットエージェント取締役。機密情報外部流出対策製品のPM兼務。クラウド関連特許取得、米SANSにてトレーニング受講など、実務においても精力的に活動。

Keep up with ZDNet Japan
ZDNet JapanはFacebookTwitterRSSメールマガジンでも情報を配信しています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]