やはりバージョンアップが推奨される
こうしたリスクを放置して旧バージョンを使い続けるのは、当然ですが決して推奨されません。一時的にであればHeartbeat機能削除でも回避できますが、本質的にはやはり1.0.1gへのバージョンアップをお勧めします。
また、TLSにおける、認証に使う鍵と鍵交換の鍵が別になる「Forward Secrecy」の利用も、最悪のパターンであるSSL証明書の秘密鍵流出へのカウンターとして一定の効果が見込めます。さらに一定時間毎に異なる鍵で定期的に鍵交換を実施し「将来的にも完全に機密が保護される(Perfect Forward Secrecy:PFS)」という機能も、一部ウェブサイトや製品などですでに利用されています。SSL/TLSでは、Forward Secrecy=鍵交換にECDHやDHを使用する設定、Perfect Forward Secrecy=鍵交換にECDHEやDHEを使用する設定にすると有効となります。
まとめると、運用側の対策としては
- 1.0.1gにバージョンアップもしくはHeartbeat機能を削除することで脆弱性をなくし、サービスを再起動する
- 偽サーバへの対策も含めて、使用していたSSL証明書を一旦失効(revoke)させ、新たに再発行する
- SSL処理とアプリケーションコードのプロセスを分ける
- 鍵交換にECDHEやDHEを使用する設定にする
といった感じです。少なくとも上の2つは必須ですし、今後を考えて下の2つも実施を推奨します。
この脆弱性が発覚して以降、さまざまなウェブサーバに対してこの脆弱性の存在を確かめる通信が多数観測されており、現在も続いています。JPドメインは、この脆弱性が最も多かったドメインの1つと言われており、今後も未対策のサービスを狙う行為は続くと思われます。
また、先に述べたようにこの一連の騒ぎに便乗してフィッシングの偽メールを送っている悪意ある第三者が存在しますが、こうしたフィッシング行為が今後ますます増える可能性は高いと言わざるを得ないでしょう。この脆弱性に直接的に起因するリスクではありませんが、案件が案件だけについついメール内のリンクをクリックしてしまう可能性が高く、リスクとしては非常に高いと感じます。
再度書きますが、こうしたメール内のリンクはクリックせず、直接そのサービスにアクセスして真偽を確認するように心がけて下さい。
直接的か間接的かは別にすると、残念ながら今後もこういった「Heartbleedの影響に関連した問題」は、当分続くものと思われますのでご注意下さい。
- 中山貴禎
- トヨタや大手広告代理店など、さまざまな業界を渡り歩き、2010年1月よりネットエージェント取締役。機密情報外部流出対策製品のPM兼務。クラウド関連特許取得、米SANSにてトレーニング受講など、実務においても精力的に活動。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。