Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

ハートブリード脆弱性から 2 か月で公開された OpenSSL の重大な脆弱性修正パッチ

2 つの脆弱性はいずれも重大ですが、果たして Heartbleed 脆弱性ほど深刻なものでしょうか。
Created: 06 Jun 2014 05:42:09 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

OpenSSLVulnsJune2014_small_v2-new.png

図. 最近修正パッチが公開された OpenSSL の脆弱性の一覧

OpenSSL プロジェクトは、複数の OpenSSL の脆弱性の修正パッチを最近公開し (英語リンク)、そのうちの 2 つは重大な脆弱性を含むものでした。重大な脆弱性の 1 つ (OpenSSL CVE-2014-0224 マン・イン・ザ・ミドル・セキュリティ・バイパス攻撃の脆弱性) が悪用されると、脆弱性があるクライアントと脆弱性があるサーバー間の通信を攻撃者が傍受してマン・イン・ザ・ミドル攻撃を行われてしまいます。この攻撃を行う 1 つの方法は公共の場に悪意を持った Wi-Fi ホットスポットを作成することです。もしユーザーがこの悪意を持ったアクセスポイント経由でインターネットにアクセスした場合、たとえ暗号化通信をしていても攻撃者はそのホットスポットを利用してデータを盗みます。クライアント側で使われているすべてのバージョンの OpenSSL やサーバーで利用されている OpenSSL の 1.0.1 から 1.0.2-beta1 のバージョンは、CVE-2014-0224 の脆弱性の影響を受けます。今のところ実際にこの攻撃による被害は報告されていません。

この発表は、攻撃者に暗号化通信を傍受され重要な情報を盗まれる Heartbleed (ハートブリード) 脆弱性の公表からたった 2 か月しか経っていないうちに起こりました。実際、CVE-2014-0224 はユーザーの情報が公開されてしまう可能性があるという点において Heartbleed 脆弱性に似ています。しかし、CVE-2014-0224 の場合、攻撃者が脆弱性を悪用するためにはマン・イン・ザ・ミドル攻撃を行わなければならない点で Heartbleed 脆弱性とは違っており、Heartbleed の攻撃では、攻撃者は脆弱性を抱えたサーバーに対して悪意を持った Heartbeat メッセージを送るだけで攻撃が成立します。さらに、報告によると、CVE-2014-0224 の場合、クライアントとサーバーの両方が脆弱でなければ、マン・イン・ザ・ミドル攻撃は成功しません。

2 つ目の重大な脆弱性は、DTLS プロトコルに影響する OpenSSL CVE-2014-0195 メモリ破損の脆弱性 (英語リンク) です。この脆弱性は、攻撃者に脆弱なクライアントもしくはサーバーに対してリモートでコードを実行することを許してしまうものです。

現在、この重大な脆弱性をどのように実行できるかという部分については証明されていません。

Heartbleed 脆弱性で注目された通り、OpenSSL は Web サーバー、電子メールクライアント、モバイルアプリ、VPN クライアント、OS、ルーターをはじめ無数のサービスや製品で利用されています。OpenSSL プロジェクトは、これらの脆弱性の対策パッチを公開しています (英語リンク) ので、OpenSSL の利用者はソフトウェアやサーバーを確認して、適切な更新を行うことが必要です。

シマンテックは、IPS (侵入防止システム) 製品によって、この脆弱性を悪用する攻撃からお客様を保護するために、攻撃を防御した際の影響について調査を行っているところです。

消費者向けの推奨事項:

  • 最新の修正アップデートをすぐに適用する。
  • 安全ではない Wi-Fi を利用しない。
  • パスワードを定期的に変更し、パスワードを複数サイトで使い回さない。

企業向けの推奨事項:

  • OpenSSL 0.9.8 を利用している場合は 0.9.8za にアップグレードしてください。
  • OpenSSL 1.0.0 を利用している場合は 1.0.0m にアップグレードしてください。
  • OpenSSL 1.0.1 を利用している場合は 1.0.1h にアップグレードしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。