×
ソフトウェア

ネット上のサイトの約66%が使用するOpenSSLに重大なバグが発見される

By Nguyen Hung Vu

インターネット上で標準的に利用される暗号通信プロトコルSSL/TLSを実装したオープンソースのライブラリOpenSSL」に、SSL/TLSの暗号化によって保護されている情報が特殊な環境下でなくても盗まれてしまう脆弱性が発覚しました。

Heartbleed Bug
http://heartbleed.com/



Heartbleed Bug」と名付けられた脆弱性は、OpenSSLの1.0.1から1.0.1fまでのバージョンで発見されたもので、脆弱性が悪用されると、これらのOpenSSLで保護されたシステムのメモリが誰でも閲覧できるようになります。メモリが閲覧されることによって、サービスプロバイダを識別しユーザーのトラフィック・名前・パスワードなどの情報を暗号化する秘密鍵が危険にさらされ、悪意のある攻撃者がサービスやユーザーから直接通信を傍受したり、データを盗んだりできるとのことです。

By D. Sharon Pruitt

OpenSSLを使用しているのはApachenginxといったオープンソースのウェブサーバで、インターネット上のサイトのうち約66%がApache、もしくはnginxを利用しています。また、OpenSSLはSMTP・POP・IMAPプロトコルを用いたメールサーバ、XMPPプロトコルのチャットサーバ、さまざまな種類のクライアントソフトウェアにも使用されており、影響はかなり広範囲に及びます。

Heartbleed Bugの影響を受けるのはインターネット上のサイトだけに限りません。「Debian Wheezy」「Ubuntu 12.04.4 LTS」「CentOS 6.5」「Fedora 18」「OpenBSD 5.3/5.4」「FreeBSD 8.4/9.1」「NetBSD 5.0.2」「OpenSUSE 12.2」といったOSも脆弱性が含まれているかもしれないバージョンのOpenSSLを利用しているので、ユーザーは注意が必要です。

Heartbleed Bugを検証した調査会社が、脆弱性を使用して自社を外部から攻撃してみる、という実験を実施したところ、社外秘の情報を一切使うことなく自社のX.509の公開鍵証明書・ユーザーネームとパスワード・インスタントメッセージ・メールや重要書類などにアクセスするためのキーを盗むことに成功。しかも、攻撃の後には一切盗んだ痕跡が残りませんでした。

By Judy van der Velden

脆弱性を含んだ可能性のあるOpenSSLを利用しているのであれば、2014年4月7日にリリースされたHeartbleed Bugの修正パッチOpenSSL1.0.1gへのアップデートは必須。OpenSSLを使ったサービスを提供しているセキュリティ企業のCloudFlareの技術者は「Heartbleed Bugが一般に公開される前に、脆弱性について知っていたハッカーから情報を提供されたので、問題を事前に修正できました。現在脆弱性について調査が行なわれており、調査の結果次第ではTLSの証明書を取り換える可能性があります」としています。

・関連記事
Android端末の99%が影響を受ける「マスターキー」脆弱性を悪用した実例が登場 - GIGAZINE

HP社のプリンターに脆弱性を発見、遠隔操作で着火される可能性を研究者が指摘 - GIGAZINE

UPnPの脆弱性が自分のルーターにあるかどうかがクリックするだけでわかる「Checkmyrouter」 - GIGAZINE

Windows版Safariユーザに使用停止勧告、脆弱性発覚が原因 - GIGAZINE

サムスンGalaxy S4のセキュリティにデータ通信記録を許可するなどの脆弱性が指摘される - GIGAZINE

IE6・IE7・IE8・IE9にあるXML絡みの情報漏洩の脆弱性は修正予定なし - GIGAZINE

Googleのビルに外部からアクセス・制御できる脆弱性、管理者パスワードも判明 - GIGAZINE

in ソフトウェア, Posted by darkhorse_log