1. Symantec/
  2. OpenSSLとHeartbleed脆弱性
  • ブックマーク

OpenSSLとHeartbleed脆弱性

Flamer Threat

Heartbleed: OpenSSL 脆弱性に関するシマンテックからのお知らせ
新しい情報が入手でき次第、逐次このページを更新いたしますので、定期的にご確認ください。

最新情報

2014 年 6 月 5 日 (太平洋夏時間 6:00):
6月5日、OpenSSLのセキュリティチームは7つの新しい脆弱性に関して、セキュリティアドバイザリと修正パッチをリリースしました。この中の1つはCriticalな脆弱性(CVE-2014-0224)であり、攻撃者にクライアントとサーバ間のトラフィックの暗号を解読され、マン・イン・ザ・ミドル攻撃(MITM)を行われる恐れがあります。この脆弱性(CVE-2014-0224)はHeartbleedの脆弱性に似ていると思われるかもしれませんが、攻撃者がクライアントとサーバ間に侵入する必要があるため、Heartbleedに比べて容易ではありません。詳細な情報については、シマンテックのセキュリティレスポンスブログ(Security Response blog post)をご覧ください。
2014 年 4 月 16 日 (日本時間 18:00):
シマンテックはHeartbleedの影響範囲と攻撃手法に関する解説をまとめました。あわせて企業および個人が取るべき対策についても解説いたしました。
2014 年 4 月 13 日 (太平洋夏時間 15:15):
シマンテックは最新のシマンテック製品に関する表を掲載しました。この情報は随時更新される予定です。お使いのシマンテック製品のサポートページにアクセスして、各製品チームからの最新情報を確認することをお勧めします。
2014 年 4 月 11 日 (太平洋夏時間 23:35):
シマンテックは、「Heartbleed」と呼ばれる OpenSSL の脆弱性によって、いくつかの製品が影響を受けることを確認しました。必要なパッチの実装を検討すると同時に、お客様にアラートを送り、対応策を提供するためのアドバイザリの作成を始めています。現在、この脆弱性の悪用は確認されていません。お使いのシマンテック製品のサポートページにアクセスして、各製品チームからの最新情報を確認することをお勧めします。
2014 年 4 月 10 日 (太平洋夏時間 15:15):
現在、各製品チームが、この脆弱性の影響を受ける製品があるかどうか調査を続けています。お使いのシマンテック製品のサポートページにアクセスして、各製品チームからの最新情報を確認することをお勧めします。製品サポートページ上の各サポート技術情報 (ナレッジベース) を購読すると、新しい情報が追加されたときに自動的に更新情報を受け取ることができます。
2014 年 4 月 9 日 (太平洋夏時間 21:00):
シマンテックは、「Heartbleed」と呼ばれる OpenSSL の脆弱性を認識しており、現在調査を行っています。「Heartbleed」を悪用すると、攻撃者は、脆弱なバージョンの OpenSSL オープンソースライブラリを使用しているシステムのメモリを読み取ることができます。新しい情報が入手でき次第、更新情報をお伝えいたします。

状況の概要

シマンテックは、「Heartbleed」と呼ばれる OpenSSL の脆弱性を認識しており、現在調査を行っています。「Heartbleed」を悪用すると、攻撃者は、脆弱なバージョンの OpenSSL オープンソースライブラリを使用しているシステムのメモリを読み取ることができます。これにより、「SSLサーバ証明書」の秘密鍵やログイン情報、その他の個人データなど機密情報にアクセスすることができます。
「Heartbleed」、すなわち OpenSSL TLS の 'Heartbeat' 拡張に存在する情報漏えいの脆弱性(CVE-2014-0160)は、ハートビート機能を提供する OpenSSL ライブラリのコンポーネントに影響します。OpenSSL は、SSL(Secure Sockets Layer)プロトコルと TLS(Transport Layer Security)プロトコルにおける普及率がきわめて高い実装です。
詳細については、シマンテックセキュリティレスポンスブログを参照してください。

脆弱性の影響範囲

  • これは SSL/TLS プロトコルの脆弱性ではありません。
  • SSL/TLSプロトコルが破られたわけでも、シマンテックから発行されたSSLサーバ証明書が危殆化したわけでもございません。
  • OpenSSL バージョン 1.0.1 から 1.0.1f をお使いのユーザーが影響を受けます。

製品情報

この脆弱性の影響を受けるシマンテック製品はありますか?

シマンテックは最新のシマンテック製品情報に関する表を掲載しています。この表は、新しい情報が届き次第、更新していきます。お使いのシマンテック製品のサポートページにアクセスして、各製品チームからの最新情報を確認することをお勧めします。

影響を受けるサーバー上で使われていた「SSL サーバ証明書」を失効させて再発行する必要がありますか?

はい。世界最大の認証局であるシマンテックは、影響を受けるバージョンの OpenSSL を使用しているシステムに対処するための対策を講じています。また、基本的なセキュリティ対策 (ベストプラクティス) に従って、影響を受けるバージョンの OpenSSL を使用していた Web サーバー上の「SSL サーバ証明書」をすべて再発行しました。まだ対処していない場合は、同様のベストプラクティスに従うことを強くお勧めします。

「SSL サーバ証明書」の破棄と再発行に料金は発生しますか?

シマンテックの「SSL サーバ証明書」に問題はありませんが、OpenSSL の脆弱性に対処するために、シマンテックは既存のお客様に対して無償で「SSL サーバ証明書」の再発行を承ります。古い「SSL サーバ証明書」は再発行後の「SSL サーバ証明書」を設定が完了したら失効してください。

シマンテックは、この脆弱性に関する情報を公開していますか?

セキュリティレスポンスブログで、この脆弱性の概要を公開しています。

リスクを軽減する方法

企業向けの注意事項
  • お使いの OpenSSL のバージョンを確認し、次のいずれかの処理を行ってください。
  • (1) -DOPENSSL_NO_HEARTBEATS フラグを指定して、ハートビート拡張機能を使わずに OpenSSL を再コンパイルする。
  • (2) OpenSSL バージョン 1.0.1 から 1.0.1f を使っている場合には、最新の修正版(1.0.1g)に更新する。
  • 修正版の OpenSSL への更新後、基本的なセキュリティ対策(ベストプラクティス)の一環として、「SSL サーバ証明書」の発行元の認証局に連絡して再発行を依頼してください。
  • 最後に、基本的なセキュリティ対策(ベストプラクティス)として、侵入を受けたサーバーのメモリから漏えいした可能性を考慮し、エンドユーザーのパスワードをリセットすることも検討する必要があります。
消費者向けの注意事項
  • 利用しているサイトで脆弱なバージョンの OpenSSL ライブラリが使用されている場合は、パスワードなどの重要なデータが第三者に盗み見られた可能性があります。
  • 利用しているサービスや企業からの通知を見逃さないようにしてください。脆弱性を確認した企業からパスワードを変更するよう連絡があった場合には、すぐに変更してください。
  • たとえパスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性には注意し、公式サイトのドメインを確認したうえで、偽装された Web サイトにアクセスしないように気を付けてください。
  • 信頼できる著名な Web サイトとサービスのみを利用してください。そういったサイトやサービスでは、脆弱性に速やかに対処する可能性が高いと思われます。
  • 銀行口座やクレジットカードの明細に注意して、不審な取引がないかどうかを確認してください。

取るべき対策