OpenSSLの脆弱性(HeartBleed)について

概要

Webサーバ上にて情報を暗号化する際に利用されているOpenSSLというソフトに不具合が見つかりました。

攻撃者がサーバへ特殊な通信を送信すると、サーバ上にて処理中のデータ(例えば、ユーザー名、パスワード、証明書の鍵など)が閲覧できる可能性がある不具合が報告されました。

この不具合は、OpenSSLのHeartbeat機能を悪用されて発生していることから、「HeartBleed」と呼ばれています。

対応方法を以下に掲載致しますので、必要に応じて対応をお願い致します。

弊社機器の対応状況

この脆弱性に影響する通信を検出するシグネチャを作成致しました。

手動での作業手順とシグネチャファイルは以下のマニュアルを参照してください。
http://mcsecurity.co.jp/download/manual/updatemanual.pdf

また、弊社機器、弊社ウェブページともにこの脆弱性の対象ではないため、影響はありません。

一般ユーザの対応

一般ユーザ、利用者の方は、以下の対応を行う必要があります。

影響を受けたページの対応が完了次第、パスワードを変更する必要があります。
パスワードの共通化、使い回しがある場合は、関係するすべてのパスワード変更を行ってください。

また、脆弱性の対応を謳った内容の詐欺メール等も存在しているようです。
パスワード変更案内メールなどのリンクからログインやパスワードリセットを行う場合は、接続先に注意してください。

サーバ管理者の対応

サーバ管理者の方は、以下の対応を行う必要があります。

NetStableにシグネチャを適用した場合、この脆弱性に影響する通信を検出することができます。

また、管理するサーバ上において、以下の対応を行ってください。

  • サーバのOpenSSLのバージョン確認を行う
  • 対象であれば、修正されたバージョンにアップデートする、等の対策を実施する
  • 対象であれば、既存の秘密鍵を破棄、その後証明書の再発行処理を行い、既存の証明書を失効させる
  • 対象であれば、サーバ上にて稼働しているユーザのパスワード変更を行う
  • ウェブページ上に「脆弱性の影響がない」または「脆弱性の影響があったため対策を行った(パスワードの変更が必要)」などの結果を掲載する

詳細については、以下のIPAのページ等を参考にしてください。

更新:OpenSSL の脆弱性対策について(CVE-2014-0160):IPA 独立行政法人 情報処理推進機構

http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html