本ページは、2014年4月に公となりましたOpenSSLのセキュリティホール(CVE-2014-0160)(通称、Heartbleed)の情報についてまとめたものです。内容は適宜更新します。
概要
The OpenSSL Projectは2014年4月8日、OpenSSLに存在する深刻なセキュリティホールを公表しました。
このセキュリティホールを利用された場合、リモートの攻撃者にサーバプロセスのメモリから秘密鍵やユーザ名とパスワード、暗号化された通信の内容などを読み取られる可能性があります。またユーザがOpenSSLを利用したクライアントを利用して悪意のあるサーバへ接続することによって、同様にクライアントプロセスのメモリからユーザ名やパスワード、暗号化された通信の内容などを読み取られる可能性があります。
既に攻撃コードが公開されており、容易にセキュリティホールを悪用できる状態です。警察庁は4月10日、定点観測システムにおいてこのセキュリティホールを標的としたアクセスの増加が確認されたとして注意喚起を行いました。また特定の環境において、このセキュリティホールを衝いた攻撃により、サーバの秘密鍵の取得に成功したとの報告もなされています。
影響範囲
このセキュリティホールはOpenSSL 1.0.1を利用しているソフトウェアに影響します。各製品の影響の有無については表-1を参照してください。
| Microsoft Windows | 影響なし |
|---|---|
| Microsoft IIS | 影響なし |
| Microsoft Internet Explorer | 影響なし |
| Red Hat Enterprise Linux | 影響あり |
| CentOS | 影響あり |
被害と対処方法
このセキュリティホールを悪用された場合、プロセスのメモリから暗号化により保護されていた別のユーザや別のドメインの通信内容を読み取られる可能性があり、次のような具体例が想定されます。
SSLサーバ証明書の秘密鍵を読み取られる
リモートの攻撃者によってSSLサーバ証明書の秘密鍵をサーバプロセスのメモリから読み取られる可能性があります。この場合、攻撃者に秘密鍵を悪用を悪用されることで、正当なサーバへのなりすましや、過去に傍受されたものを含め、暗号文の解読や改竄を行われる可能性があります。
影響を受けるシステムや機器でSSLサーバ証明書を使用している場合は、サーバ証明書の再発行と古いSSLサーバ証明書の失効が必要です。サーバ証明書の再発行および古いサーバ証明書の失効方法は、サーバ証明書発行機関の情報をご確認ください。
資格情報(ユーザ名やパスワード)を読み取られる
リモートの攻撃者によってサーバプロセスのメモリから別のユーザの資格情報を読み取られる可能性があります。
影響を受けるシステムにおいて、利用者のユーザ名やパスワードなどの資格情報を管理している場合は、利用者に資格情報の再設定を促したり資格情報のリセットを行うなどの対策が必要です。
またユーザがOpenSSLを利用したクライアントを利用して悪意のあるサーバへ接続することによって、クライアントプロセスのメモリから別のドメインの資格情報を読み取られる可能性があります。
この場合、ユーザが使用している資格情報の変更が必要となります。
問題の原因
このセキュリティホールでは、TLS Heartbeat Extensionの処理において、設定されたペイロードの長さをチェックせずに使用するため、実際のペイロード長と比較して大きな値に設定されたペイロード長のリクエストを処理することで、意図した領域を超えてプロセスのメモリの内容を余分に読み取られる可能性のあることが原因となります。
余分に読み取られたメモリ領域には、同じプロセスで処理しているサーバの秘密鍵や他のユーザの資格情報、暗号化の通信文などが含まれている可能性があります。
図-1. OpenSSL CVE-2014-0160の原因
SSL サーバ証明書発行機関の対応状況
- GMOグローバルサイン株式会社
OpenSSL 1.0.1に含まれる脆弱性への対応のお願い - シマンテック・ウェブサイトセキュリティ(旧ベリサイン)
脆弱性:OpenSSL Heartbleed Bug (CVE-2014-0160/CVE-2014-0346) について - クロストラスト株式会社
OpenSSL 1.0.1に含まれる脆弱性(The Heartbleed Bug)への対応に関するお知らせ (2014/04/08) - クロストラスト株式会社
OpenSSL 脆弱性への推奨対応手順と注意点について (2014/04/11) - セコムトラストシステムズ株式会社
OpenSSL(1.0.1~1.0.1fおよび1.0.2-betaシリーズ)に含まれる脆弱性に関する重要なお知らせ - 株式会社トリトン アルファSSL
OpenSSL 1.0.1に含まれる脆弱性への対応のお願い - 日本ジオトラスト株式会社
Security Advisory – 脆弱性:OpenSSL Heartbleed Bug (CVE-2014-0160/CVE-2014-0346) について - トレンドマイクロ株式会社
OpenSSLの脆弱性 (CVE-2014-0160) の影響を受ける環境でTrend Micro SSLから発行された証明書を利用している場合の対応について
関連ニュース
- ITPro
Google、MS、Facebookなど大手IT企業、Heartbleed再発防止を支援 (2014/04/25) - ITPro
Heartbleedを巡るさまざまな議論、現実的な攻撃シナリオは? (2014/04/25) - impress
Heartbleedバグの轍を踏まないために業界が結束 (2014/04/25) - impress
OpenSSLの脆弱性を狙った攻撃で会員情報の不正閲覧、三菱UFJニコスが被害公表 (2014/04/21) - ITPro
国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か (2014/04/21) - ITPro
オバマケアのWebサイトがパスワードリセット、Heartbleed対策で (2014/04/21) - impress
スマホにも”Heartbleed”脆弱性、検査アプリをTrend Microが公開 (2014/04/18) - ITPro
OpenSSLの「心臓出血」はクライアントにも影響、サーバに情報を盗まれる (2014/04/17) - ITPro
トレンドマイクロのパスワード管理ソフトでOpenSSL脆弱性による漏えいか (2014/04/17) - ITPro
OpenSSLの「心臓出血」脆弱性、悪用の疑いで逮捕者 (2014/04/17) - impress
“Heartbleed”で秘密鍵を盗むのは難易度高、攻撃活動も現状では少数 (2014/04/16) - IPA
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について (2014/04/16) - ITPro
OpenSSLの「心臓出血」脆弱性、被害報告が相次ぐ (IT Pro) (2014/04/16) - ITPro
OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ (2014/04/16) - 日本アイ・ビー・エム株式会社 Tokyo SOC Report
2014年4月に公開されたOpenSSLの脆弱性(CVE-2014-0160)に対する攻撃を確認 (2014/04/15) - impress
OpenSSLの”Heartbleed”脆弱性による被害が発生、カナダ歳入庁が発表 (2014/04/15) - impress
人気サイトは”Heartbleed”パッチ済み、ただし以前に漏れた可能性も (2014/04/14) - ITPro
米政府、「Heartbleedを情報収集活動に利用」との報道を否定 (2014/04/14) - CNET Japan
オバマ米大統領、NSAのセキュリティ脆弱性秘匿を一部許可か (2014/04/14) - impress
NSA、「Heartbleed脆弱性を情報収集に利用していた」とする報道を否定 (2014/04/14) - CNET Japan
NSA、「Heartbleed」脆弱性をデータ収集活動に利用と報じられる–声明で否定 (2014/04/12) - impress
OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 (2014/04/11) - impress
OpenSSLの”出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45% (2014/04/11) - CNET Japan
「Heartbleed」脆弱性、アップルのOSやウェブサイトは安全–米CNETが回答入手 (2014/04/11) - 警察庁セキュリティポータルサイト @police
OpenSSLの脆弱性を標的としたアクセスの増加について (2014/04/10) - CNET Japan
「OpenSSL」暗号ライブラリに重大な脆弱性 (2014/04/08) - ITPro
OpenSSLに情報漏えいの危険がある脆弱性、JPCERT/CCが注意喚起 (2014/04/08) - impress
「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性 (2014/04/08) - JPCERT/CC
OpenSSLの脆弱性に関する注意喚起 (2014/04/08) - IPA
OpenSSLの脆弱性対策について(CVE-2014-0160) (2014/04/08)
関連情報
- Common Vulnerabilities and Exposures (CVE)
CVE-2014-0160 - Heartbleed.com
The Heartbleed Bug - US-CERT Vulnerability Note
VU#720951 OpenSSL heartbeat extension read overflow discloses sensitive information - Japan Vulnerability Notes
JVNVU#94401838 OpenSSL の heartbeat 拡張に情報漏えいの脆弱性
本ページの情報は、無保証で「As is」(現状のまま)として提供します。本ページの情報は、ご利用者様の責任においてご利用ください。本ページにおける当社が提供する情報及びその他の情報に基づいたページ利用者様の行為により、いかなる付随・必然の損害が生じた場合でも、当社はその法的債務あるいは法的責任を負うものではありません。また、当社は本ページにおいて提供する情報の正確性、完全性および有用性に対し、明示的にも暗黙的にもいかなる保証を行うものではなく、いかなる法的債務あるいは法的責任を負うものではありません。