03-6416-1579

平日 10:00-18:00

HOME

お役立ち情報

OpenSSL Heartbleed セキュリティホール (CVE-2014-0160)について

注意喚起

OpenSSL Heartbleed セキュリティホール (CVE-2014-0160)について

本ページは、2014年4月に公となりましたOpenSSLのセキュリティホール(CVE-2014-0160)(通称、Heartbleed)の情報についてまとめたものです。内容は適宜更新します。

概要

The OpenSSL Projectは2014年4月8日、OpenSSLに存在する深刻なセキュリティホールを公表しました。

このセキュリティホールを利用された場合、リモートの攻撃者にサーバプロセスのメモリから秘密鍵やユーザ名とパスワード、暗号化された通信の内容などを読み取られる可能性があります。またユーザがOpenSSLを利用したクライアントを利用して悪意のあるサーバへ接続することによって、同様にクライアントプロセスのメモリからユーザ名やパスワード、暗号化された通信の内容などを読み取られる可能性があります。

既に攻撃コードが公開されており、容易にセキュリティホールを悪用できる状態です。警察庁は4月10日、定点観測システムにおいてこのセキュリティホールを標的としたアクセスの増加が確認されたとして注意喚起を行いました。また特定の環境において、このセキュリティホールを衝いた攻撃により、サーバの秘密鍵の取得に成功したとの報告もなされています。

影響範囲

このセキュリティホールはOpenSSL 1.0.1を利用しているソフトウェアに影響します。各製品の影響の有無については表-1を参照してください。

表-1. 各製品の影響の有無
Microsoft Windows影響なし
Microsoft IIS影響なし
Microsoft Internet Explorer影響なし
Red Hat Enterprise Linux影響あり
CentOS影響あり

被害と対処方法

このセキュリティホールを悪用された場合、プロセスのメモリから暗号化により保護されていた別のユーザや別のドメインの通信内容を読み取られる可能性があり、次のような具体例が想定されます。

SSLサーバ証明書の秘密鍵を読み取られる

リモートの攻撃者によってSSLサーバ証明書の秘密鍵をサーバプロセスのメモリから読み取られる可能性があります。この場合、攻撃者に秘密鍵を悪用を悪用されることで、正当なサーバへのなりすましや、過去に傍受されたものを含め、暗号文の解読や改竄を行われる可能性があります。

影響を受けるシステムや機器でSSLサーバ証明書を使用している場合は、サーバ証明書の再発行と古いSSLサーバ証明書の失効が必要です。サーバ証明書の再発行および古いサーバ証明書の失効方法は、サーバ証明書発行機関の情報をご確認ください。

資格情報(ユーザ名やパスワード)を読み取られる

リモートの攻撃者によってサーバプロセスのメモリから別のユーザの資格情報を読み取られる可能性があります。

影響を受けるシステムにおいて、利用者のユーザ名やパスワードなどの資格情報を管理している場合は、利用者に資格情報の再設定を促したり資格情報のリセットを行うなどの対策が必要です。

またユーザがOpenSSLを利用したクライアントを利用して悪意のあるサーバへ接続することによって、クライアントプロセスのメモリから別のドメインの資格情報を読み取られる可能性があります。

この場合、ユーザが使用している資格情報の変更が必要となります。

問題の原因

このセキュリティホールでは、TLS Heartbeat Extensionの処理において、設定されたペイロードの長さをチェックせずに使用するため、実際のペイロード長と比較して大きな値に設定されたペイロード長のリクエストを処理することで、意図した領域を超えてプロセスのメモリの内容を余分に読み取られる可能性のあることが原因となります。

余分に読み取られたメモリ領域には、同じプロセスで処理しているサーバの秘密鍵や他のユーザの資格情報、暗号化の通信文などが含まれている可能性があります。

図-1. OpenSSL CVE-2014-0160の原因

SSL サーバ証明書発行機関の対応状況

  • GMOグローバルサイン株式会社
    OpenSSL 1.0.1に含まれる脆弱性への対応のお願い
  • シマンテック・ウェブサイトセキュリティ(旧ベリサイン)
    脆弱性:OpenSSL Heartbleed Bug (CVE-2014-0160/CVE-2014-0346) について
  • クロストラスト株式会社
    OpenSSL 1.0.1に含まれる脆弱性(The Heartbleed Bug)への対応に関するお知らせ (2014/04/08)
  • クロストラスト株式会社
    OpenSSL 脆弱性への推奨対応手順と注意点について (2014/04/11)
  • セコムトラストシステムズ株式会社
    OpenSSL(1.0.1~1.0.1fおよび1.0.2-betaシリーズ)に含まれる脆弱性に関する重要なお知らせ
  • 株式会社トリトン アルファSSL
    OpenSSL 1.0.1に含まれる脆弱性への対応のお願い
  • 日本ジオトラスト株式会社
    Security Advisory – 脆弱性:OpenSSL Heartbleed Bug (CVE-2014-0160/CVE-2014-0346) について
  • トレンドマイクロ株式会社
    OpenSSLの脆弱性 (CVE-2014-0160) の影響を受ける環境でTrend Micro SSLから発行された証明書を利用している場合の対応について

関連ニュース

関連情報

本ページの情報は、無保証で「As is」(現状のまま)として提供します。本ページの情報は、ご利用者様の責任においてご利用ください。本ページにおける当社が提供する情報及びその他の情報に基づいたページ利用者様の行為により、いかなる付随・必然の損害が生じた場合でも、当社はその法的債務あるいは法的責任を負うものではありません。また、当社は本ページにおいて提供する情報の正確性、完全性および有用性に対し、明示的にも暗黙的にもいかなる保証を行うものではなく、いかなる法的債務あるいは法的責任を負うものではありません。