ネット上のサイトの約66％が使用するOpenSSLに重大なバグが発見される

By Nguyen Hung Vu

インターネット上で標準的に利用される暗号通信プロトコルのSSL/TLSを実装したオープンソースのライブラリ「OpenSSL」に、SSL/TLSの暗号化によって保護されている情報が特殊な環境下でなくても盗まれてしまう脆弱性が発覚しました。

Heartbleed Bug
http://heartbleed.com/

「Heartbleed Bug」と名付けられた脆弱性は、OpenSSLの1.0.1から1.0.1fまでのバージョンで発見されたもので、脆弱性が悪用されると、これらのOpenSSLで保護されたシステムのメモリが誰でも閲覧できるようになります。メモリが閲覧されることによって、サービスプロバイダを識別しユーザーのトラフィック・名前・パスワードなどの情報を暗号化する秘密鍵が危険にさらされ、悪意のある攻撃者がサービスやユーザーから直接通信を傍受したり、データを盗んだりできるとのことです。

By D. Sharon Pruitt

OpenSSLを使用しているのはApacheやnginxといったオープンソースのウェブサーバで、インターネット上のサイトのうち約66％がApache、もしくはnginxを利用しています。また、OpenSSLはSMTP・POP・IMAPプロトコルを用いたメールサーバ、XMPPプロトコルのチャットサーバ、さまざまな種類のクライアントソフトウェアにも使用されており、影響はかなり広範囲に及びます。

Heartbleed Bugの影響を受けるのはインターネット上のサイトだけに限りません。「Debian Wheezy」「Ubuntu 12.04.4 LTS」「CentOS 6.5」「Fedora 18」「OpenBSD 5.3/5.4」「FreeBSD 8.4/9.1」「NetBSD 5.0.2」「OpenSUSE 12.2」といったOSも脆弱性が含まれているかもしれないバージョンのOpenSSLを利用しているので、ユーザーは注意が必要です。

Heartbleed Bugを検証した調査会社が、脆弱性を使用して自社を外部から攻撃してみる、という実験を実施したところ、社外秘の情報を一切使うことなく自社のX.509の公開鍵証明書・ユーザーネームとパスワード・インスタントメッセージ・メールや重要書類などにアクセスするためのキーを盗むことに成功。しかも、攻撃の後には一切盗んだ痕跡が残りませんでした。

By Judy van der Velden

脆弱性を含んだ可能性のあるOpenSSLを利用しているのであれば、2014年4月7日にリリースされたHeartbleed Bugの修正パッチOpenSSL1.0.1gへのアップデートは必須。OpenSSLを使ったサービスを提供しているセキュリティ企業のCloudFlareの技術者は「Heartbleed Bugが一般に公開される前に、脆弱性について知っていたハッカーから情報を提供されたので、問題を事前に修正できました。現在脆弱性について調査が行なわれており、調査の結果次第ではTLSの証明書を取り換える可能性があります」としています。