※こちらの記事は2014年4月8日に投稿されたものを、GMOグローバルサインスタッフが翻訳したものです。

2014年4月7日の米国時間午後、非常に深刻な脆弱性“Heartbleed“と呼ばれるバグがOpenSSL(OpenSSL 1.0.1 - 1.0.1f及びOpenSSL 1.0.2-beta - 1.0.2-beta1)に発見され公表されました。OpenSSLは、非常に広く使用されているオープンソースの暗号化ライブラリです。Nginx またはApacheの利用者は高確率でOpenSSLを稼働させており、悪意のある第三者がウェブサーバのメモリからデータを取得することが可能になるため、“Heartbleed“の脆弱性はOpenSSLのユーザが非常に深刻に受け止めるべき内容です。

ウェブサーバの秘密鍵のような機密情報のみならず、顧客情報などメモリ内に保存されているすべての重要情報もリスクとなります。さらにウェブサーバのみでなく、OpenSSLを利用する SSLベースのVPNにもリスクが潜んでいます。攻撃者が通信記録を解読して(Perfect Forward Security (PFS)が設定されてない場合)機密データを盗み取るためにその秘密鍵は使用可能なため、攻撃者は関連サーバになりすますこともでき、このタイプの重要データへのアクセスは非常に大きな危険を伴います。

対応方法

OpenSSLご利用の方々へ以下を強く推奨いたします。

  • OpenSSLのバージョンを確認し、それらのシステムを適切に修復されたバージョン“OpenSSL 1.0.1g”へアップグレードしてください。
  • 影響を受けたサーバにインストールされているSSLサーバ証明書は、新しい秘密鍵で再発行を行い、新しい証明書をインストールしてください。また古い証明書は失効してください。

GMOグローバルサインでは証明書の無償再発行が可能です。GMOグローバルサインの証明書をご利用中のお客様で、”Heartbleed”バグに影響された場合は、再発行のお手続きについてをご覧ください。

※OpenSSLはSSL/TLSプロトコルのオープンソース実装ライブラリです。詳細はこちらへ:www.openssl.org

トピック関連記事

#

2020年06月09日

パスワードだけの無線LANやWi-Fiはハッキングの危険性大

#

2016年07月21日

対策はお客様だけの責任ではない!メール送信者側が企業責任としてフィッシング詐欺対策を進めるための具体的方法とは

#

2015年11月02日

iOSにも迫るマルウェアのリスクと対策を知ろう~XcodeGhost問題の発覚から現在まで~

この記事を書きました

Doug Beattie

Doug Beattie
所属:Vice President, Product Management, GlobalSign Inc.