※こちらの記事は2014年4月8日に投稿されたものを、GMOグローバルサインスタッフが翻訳したものです。
2014年4月7日の米国時間午後、非常に深刻な脆弱性“Heartbleed“と呼ばれるバグがOpenSSL(OpenSSL 1.0.1 - 1.0.1f及びOpenSSL 1.0.2-beta - 1.0.2-beta1)に発見され公表されました。OpenSSLは、非常に広く使用されているオープンソースの暗号化ライブラリです。Nginx またはApacheの利用者は高確率でOpenSSLを稼働させており、悪意のある第三者がウェブサーバのメモリからデータを取得することが可能になるため、“Heartbleed“の脆弱性はOpenSSLのユーザが非常に深刻に受け止めるべき内容です。
ウェブサーバの秘密鍵のような機密情報のみならず、顧客情報などメモリ内に保存されているすべての重要情報もリスクとなります。さらにウェブサーバのみでなく、OpenSSLを利用する SSLベースのVPNにもリスクが潜んでいます。攻撃者が通信記録を解読して(Perfect Forward Security (PFS)が設定されてない場合)機密データを盗み取るためにその秘密鍵は使用可能なため、攻撃者は関連サーバになりすますこともでき、このタイプの重要データへのアクセスは非常に大きな危険を伴います。
対応方法
OpenSSLご利用の方々へ以下を強く推奨いたします。
- OpenSSLのバージョンを確認し、それらのシステムを適切に修復されたバージョン“OpenSSL 1.0.1g”へアップグレードしてください。
- 影響を受けたサーバにインストールされているSSLサーバ証明書は、新しい秘密鍵で再発行を行い、新しい証明書をインストールしてください。また古い証明書は失効してください。
GMOグローバルサインでは証明書の無償再発行が可能です。GMOグローバルサインの証明書をご利用中のお客様で、”Heartbleed”バグに影響された場合は、再発行のお手続きについてをご覧ください。
※OpenSSLはSSL/TLSプロトコルのオープンソース実装ライブラリです。詳細はこちらへ:www.openssl.org
関連する記事