更新日:2015年5月5日
OpenSSLの脆弱性に関する注意喚起:バグ "Heartbleed"
インターネット上のオンラインショップやネットバンキングなど個人情報や機密情報をデータ上でやり取りする環境においては、通常、SSLを利用し、情報を暗号化して通信を行うことで該当の情報が外部に盗み取られるのを防いでいます。
この度、2014年4月7日(米国時間)、SSL/TLSと呼ばれる暗号方式に利用されるOpenSSLの拡張機能「Heartbeat」に脆弱性が見つかり、6月5日(米国時間)に修正パッチがリリースされました。
「Heartbleed」とはOpenSSLというオープンソースの暗号ソフトウェアライブラリ上で発見された脆弱性のことです。
これらの脆弱性を悪用された場合、秘密鍵、Cookie などメモリに格納されている本来は暗号化されるべき重要な情報が第三者に盗み取られてしまう可能性があるため、該当するバージョンのOpenSSLを使用している事業者・組織においては、早急な対策が必要とされています。
OpenSSLは、NginxやApacheといったウェブサーバーによく利用されており、他にもSSL通信を行うアプリケーションなどに広く使われています。
対象バージョン
•OpenSSL 1.0.1 から 1.0.1f
※上記バージョンを使用しているシステムは、早急な対策が必要です。
対応方法
1.OpenSSLのバージョンを確認し、それらのシステムを適切に修復されたバージョン“OpenSSL 1.0.1g”へアップグレードしてください。
(またはHeartbeat 拡張機能を使わないようにしてください)
2.脆弱性を悪用された場合、SSL サーバ証明書の秘密鍵が読み出されてしまっている可能性があります。
影響を受けたサーバにインストールされているSSLサーバ証明書は、新しい秘密鍵で再発行を行い、新しい証明書をインストールしてください。また古い証明書は失効してください。
3.エンドユーザーにてご登録いただいたパスワードの変更を行ってください。