情報通信基盤の安心・安全を確保するために活動している一般財団法人日本データ通信協会テレコム・アイザック推進会議(所在地:東京都港区、会長:飯塚久夫、 以下、Telecom-ISAC Japan)は、国内主要通信事業者、ISP(インターネットサービスプロバイダ)の業界団体として、インターネットの安定運用に関わる事象の検出および対処に取り組んでおります。
オープンソースのSSL/TLSライブラリであるOpenSSLの一部のバージョンにおいて、実装の不具合によりメモリ内に保存された情報が漏えいする可能性があることが、開発元のOpenSSL Projectより発表されました。この脆弱性を利用することにより、ユーザID、パスワード、クレジットカード番号、秘密鍵等をはじめとする重要な情報が漏えいする可能性があります。実際、この脆弱性を悪用した攻撃と思われる通信が多数観測されています。
総務省より、ホスティング事業者を含むサーバ等管理者に対して本脆弱性対策の重要性について認識頂くと共に対策講じて頂けますよう周知が促されております。
■概要
オープンソースのSSL/TLSライブラリであるOpenSSLの一部のバージョンにおいて、深刻な脆弱性が発見されました。該当するOpenSSLのバージョンを使用している場合は、本脆弱性を修正したバージョンを速やかに適用した上で、すでに秘密鍵が漏えいしている可能性を考慮して、現在使用している証明書を失効させ、再発行をおこなってください。
■想定される脅威
攻撃者は、細工したパケットを送付することで、ショッピングサイトやオンラインバンキングサイトのサーバのメモリ内容を取得することが可能となります。これにより、ユーザID、パスワード、クレジットカード番号、秘密鍵等をはじめとする重要な情報が漏えいする可能性があります。
攻撃者は、入手したユーザID、パスワードでサーバに不正にログインすることが可能になります。また、攻撃者は、入手した秘密鍵で、通信内容の解読や偽のSSLサーバの設置が可能となります。
■脆弱性の影響を受けるOpenSSL
- OpenSSL 1.0.1から1.0.1f
- OpenSSL 1.0.2-betaから1.0.2-beta1
※OpenSSL 0.9.8系およびOpenSSL 1.0.0系は影響を受けません。
■対策方法
- 修正の適用
- 本脆弱性を修正したバージョンOpenSSL 1.0.1gが公開されているので、テスト等を実施した上で、速やかに適用してください。
OpenSSL 1.0.2-beta系は、4月23日現在、修正バージョンは公開されていません。
- 上記バージョンの適用が困難な場合は、「-DOPENSSL_NO_HEARTBEATS」オプションを有効にしてOpenSSLを再コンパイルし、適用してください。
- 証明書の再発行
本脆弱性により、すでにサーバの秘密鍵が漏えいしている可能性があることから、1の修正の適用後、サーバ等ないのSSLサーバ証明書を失効させ、再発行してください。SSLサーバ証明書の失効や再発行の方法は、利用している認証局へ確認してください。
■参考
|