Skip to main content

ハートブリードバグ

関連するエラー

「このサーバーにはハートブリードに対する脆弱性があります。OpenSSLを最新バージョンに更新し、ウェブサーバまたはアプライアンス上の証明書を交換して、危殆化されたサーバーメモリに表示されていた可能性があるエンドユーザーパスワードをリセットしてください。」

問題

ハートブリードバグは、OpenSSL暗号ライブラリのheartbeat拡張機能に存在するバグです。OpenSSLのバージョン1.0.1から1.0.1f、および1.0.2-beta1の暗号ライブラリに、この攻撃に対する脆弱性があります。ハートブリードバグ脆弱性はOpenSSL暗号ライブラリ内にある弱点であり、通常はSSLおよびTLSプロトコルで保護されている機密情報に攻撃者がアクセスすることを可能にします。

注記

OpenSSLは、セキュアソケットレイヤー(SSL)およびトランスポートレイヤーセキュリティ(TLS)プロトコルを実装するオープンソースのツールキットです。これには、暗号機能を活用し、異なるユーティリティ機能を提供する暗号ライブラリが含まれています。この暗号ライブラリは、インターネットのトラフィックの多くをセキュア化するために、インターネット上のサーバーによって実装されるのが一般的です。

攻撃者は、以下にアクセスするためにハートブリードバグを使用できます:

  • 暗号化鍵

    攻撃者は、これらの鍵を使用してウェブサイトに対する過去および将来の通信を復号化し、いつでもそのウェブサイトになりすますことができます。

  • ユーザー認証情報

    攻撃者は、顧客のユーザー名とパスワードを使用して、ウェブサイトによってセキュア化された顧客情報にアクセスすることができます。

  • 保護されたコンテンツ

    攻撃者は、個人または財務情報、プライベートな通信(Eメールまたはインスタントメッセージ)、およびドキュメントにアクセスできます。

  • コラテラル

    攻撃者は、メモリアドレスおよびセキュリティ対策など、漏洩したメモリコンテンツにアクセスできます。

ソリューション

ソフトウェアにパッチを適用する

ハートブリードバグに対して環境をセキュア化するときは、OpenSSLの脆弱なバージョンを実行しているサーバーと、OpenSSLライブラリのバグの影響を受けるバージョンを使用しているソフトウェアのOpenSSLにパッチを適用する必要があります。

OpenSSLの最新バージョン(バージョン1.0.1g以降)にアップグレードします。

  • サーバー

    更新されたOpenSSLパッケージについてパッケージマネージャーをチェックし、そのパッケージをインストールします。更新されたOpenSSLパッケージがない場合は、サービスプロバイダーからOpenSSLの最新バージョンを入手してください。

  • ソフトウェア

    ハートブリードバグ脆弱性を修正するためにリリースされたソフトウェアパッチをチェックして、それらをインストールします。ソフトウェアパッチがない場合は、ソフトウェアベンダーに問い合わせて最新のパッチを入手し、インストールしてください。

注記

パッチの適用後は、ソフトウェアを再起動して、OpenSSLライブラリがリセットされ、ハートブリードバグがキャッシュされたメモリから削除されていることを確実にする必要がある場合があります。

OpenSSLの最新バージョンにアップグレードできない場合:

  • OpenSSLのバージョン1.0.0以前にロールバックします。

  • OPENSSL_NO_HEARTBEATSフラグを使用してOpenSSLを再コンパイルします。

脆弱性にパッチが適用されたことを確認する

DigiCert Discoveryを使用して環境を再スキャンし、ハートブリードバグ攻撃に対する脆弱性がなくなっていることを確認します。

証明書の鍵を更新し、証明書を再発行してインストールする

  • 影響を受けるサーバー上のすべての証明書の鍵を更新し、証明書を再発行します。証明書を再発行するときは、新しい証明書署名要求(CSR)を生成するようにしてください。「CSRを作成する」を参照してください。

  • サーバーとソフトウェアにパッチが適用されたら、再発行された証明書をインストールします。これは、パッチ適用後のみに行ってください。

置き換えられた証明書を失効させる

再発行された証明書のインストール後は、置き換えられた証明書を失効させる必要があります。証明書を失効させるには、認証局に連絡してください。

デジサートのお客様の場合は、サポートにEメールを送信してください。これには、証明書のオーダー番号と、失効させる証明書の簡単な説明を含めるようにしてください。

パスワードをリセットする

サーバーがパスワードを受け入れる場合は、クライアントがそのパスワードをリセットする必要もありますが、このリセットは、サーバーとソフトウェアにパッチが適用され、証明書の鍵の更新、および証明書の再発行、インストール、失効が行われた後でのみ実行するようにしてください。

注記

サーバーまたはソフトウェアにパッチが適用され、証明書の鍵の更新、および証明書の再発行、インストール、失効が行われる前にクライアントがパスワードをリセットしても、そのパスワードは公開されたままになります。クライアントはパスワードを再度リセットする必要があります。