セキュリティの論点

「Heartbleed」問題の原因と対策--バージョンアップとSSL証明書の再発行を - (page 4)

中山貴禎(ネットエージェント) 2014年05月10日 07時30分

  • このエントリーをはてなブックマークに追加
  • 印刷

 やはりバージョンアップが推奨される

 こうしたリスクを放置して旧バージョンを使い続けるのは、当然ですが決して推奨されません。一時的にであればHeartbeat機能削除でも回避できますが、本質的にはやはり1.0.1gへのバージョンアップをお勧めします。

 また、TLSにおける、認証に使う鍵と鍵交換の鍵が別になる「Forward Secrecy」の利用も、最悪のパターンであるSSL証明書の秘密鍵流出へのカウンターとして一定の効果が見込めます。さらに一定時間毎に異なる鍵で定期的に鍵交換を実施し「将来的にも完全に機密が保護される(Perfect Forward Secrecy:PFS)」という機能も、一部ウェブサイトや製品などですでに利用されています。SSL/TLSでは、Forward Secrecy=鍵交換にECDHやDHを使用する設定、Perfect Forward Secrecy=鍵交換にECDHEやDHEを使用する設定にすると有効となります。

 まとめると、運用側の対策としては

  • 1.0.1gにバージョンアップもしくはHeartbeat機能を削除することで脆弱性をなくし、サービスを再起動する
  • 偽サーバへの対策も含めて、使用していたSSL証明書を一旦失効(revoke)させ、新たに再発行する
  • SSL処理とアプリケーションコードのプロセスを分ける
  • 鍵交換にECDHEやDHEを使用する設定にする

 といった感じです。少なくとも上の2つは必須ですし、今後を考えて下の2つも実施を推奨します。

 この脆弱性が発覚して以降、さまざまなウェブサーバに対してこの脆弱性の存在を確かめる通信が多数観測されており、現在も続いています。JPドメインは、この脆弱性が最も多かったドメインの1つと言われており、今後も未対策のサービスを狙う行為は続くと思われます。

 また、先に述べたようにこの一連の騒ぎに便乗してフィッシングの偽メールを送っている悪意ある第三者が存在しますが、こうしたフィッシング行為が今後ますます増える可能性は高いと言わざるを得ないでしょう。この脆弱性に直接的に起因するリスクではありませんが、案件が案件だけについついメール内のリンクをクリックしてしまう可能性が高く、リスクとしては非常に高いと感じます。

 再度書きますが、こうしたメール内のリンクはクリックせず、直接そのサービスにアクセスして真偽を確認するように心がけて下さい。

 直接的か間接的かは別にすると、残念ながら今後もこういった「Heartbleedの影響に関連した問題」は、当分続くものと思われますのでご注意下さい。

中山貴禎
トヨタや大手広告代理店など、さまざまな業界を渡り歩き、2010年1月よりネットエージェント取締役。機密情報外部流出対策製品のPM兼務。クラウド関連特許取得、米SANSにてトレーニング受講など、実務においても精力的に活動。

Keep up with ZDNet Japan
ZDNet JapanはFacebookTwitterRSSメールマガジンでも情報を配信しています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]