Heartbleed バグ

関連エラー

"このサーバは Heartbleed 攻撃に対して脆弱性があります。最新バージョンの OpenSSL に更新し、お使いのウェブサーバまたは機器で証明書を入れ替え、危殆化したサーバメモリで表示される場合があるエンドユーザーパスワードをリセットします。"

問題

Heartbleed バグは、OpenSSL 暗号ライブラリの Heartbeat 拡張機能中にあります。OpenSSL バージョン 1.0.1 ~ 1.0.1f および 1.0.2-beta1 の暗号ライブラリは、Heartbleed バグ攻撃に対して脆弱性があります。Heartbleed バグ脆弱性は、OpenSSL 暗号ライブラリ内の脆弱さで、この結果、攻撃者は、通常は SSL と TLS プロトコルで保護されている機密情報にアクセスできます。

OpenSSL は、暗号機能を採用し、別のユーティリティ機能を提供する暗号ライブラリを含め、セキュアソケットレイヤ (SSL) とトランスポートセキュリティレイヤのセキュリティ (TLS) プロトコルをじっすするオープンソースツールキットです。この暗号ライブラリは一般的に、インターネットのトラフィックの多くを安全保護するために、インターネット上のサーバにより実装されています。

攻撃者は、Heartbleed バグ攻撃を利用し、以下にアクセスできます。

  • 暗号化キー
    攻撃者は、これらのキーを利用して、お使いのウェブサイトへの過去および未来のセキュア通信の復号を行い、いつでもお使いのウェブサイトになりすますことができます。
  • ユーザー資格情報
    攻撃者は、お使いの顧客ユーザー名とパスワードを利用し、お使いのウェブサイトが安全保護する情報にアクセスできます。
  • 保護されたコンテンツ
    攻撃者は、個人またはファイナンス詳細、プライベート通信(メールやインスタントメッセージ)およびドキュメントにアクセスできます。
  • 担保
    攻撃者は、メモリアドレスやセキュリティ対策など、漏洩したメモリコンテンツにアクセスできます。

対処方法

ソフトウェアをパッチ修正

Heartbleed バグから環境を保護する場合、脆弱性のあるバージョンの OpenSSL を実行しているサーバ上で OpenSSL を、および影響を受けたバージョンの OpenSSL ライブラリを使用してソフトウェアを修正します。

最新バージョンの OpenSSL (バージョン 1.0.1g またはそれ以降) ニアアップグレードします。

  • サーバ
    パッケージマネージャが更新済 OpenSSL パッケージになっているかをチェックし、インストールします。更新済 OpenSSL パッケージがない場合は、最新バージョンの OpenSSL をサービスプロバイダーから取得します。
  • ソフトウェア
    リリースされたソフトウェアパッチをチェックして Heartbleed バグ脆弱性を修正し、インストールします。ソフトウェアパッチがない場合は、ソフトウェアベンダーにお問い合わせの上、最新パッチを取得してインストールします。
    注意:パッチ修正後、OpenSSL ライブラリのリセットと、Heartbleed バグのキャッシュメモリからの削除を確認するため、お使いのソフトウェアの再起動が必要な場合があります。

パッチ修正後、OpenSSL ライブラリのリセットと、Heartbleed バグのキャッシュメモリからの削除を確認するため、お使いのソフトウェアの再起動が必要な場合があります。

最新バージョンの OpenSSL にアップグレードできない場合:

  • OpenSSL バージョン 1.0.0 またはそれ以前にロールバックします。
  • OpenSSL を OPENSSL_NO_HEARTBEATS フラグでリコンパイルします。

Heartbleed バグ脆弱性がパッチ修正されたかを確認します。

DigiCert Discovery を使用して環境を再スキャンし、Heartbleed バグ攻撃への脆弱性がないかを確認します。

証明書のキーを変更、証明書を再発行およびインストールする

  • 影響を受けたサーバ上のすべての証明書のキーを変更および再発行します。
    証明書を再発行する場合、新しい 証明書署名要求 (CSR) を生成したかを確認します。「CSR を作成する」を参照してください
  • サーバおよびソフトウェアをパッチ修正した後、およびパッチ修正してから後ではじめて、再発行証明書をインストールします。

入れ替えた証明書を失効にする

再発行済証明書をインストールした後、入れ替えた証明書を失効にする必要があります。証明書を失効にするには、認証局にお問い合わせください。

DigiCert 顧客の場合は、support@digicert.com にてサポートまでメールにてお問い合わせください。証明書のオーダー番号および失効を希望する内容について簡単な説明が含まれているかを確認します。

パスワードをリセットする

お使いのサーバがパスワードを承認した場合、クライアントのパスワードもリセットしますが、リセットするのは、サーバとソフトウェアのパッチ修正および証明書のキー変更、再発行、インストールおよび失効後のみです。

サーバ/ソフトウェアのパッチ修正および証明書のキー変更、再発行、インストールおよび失効前に、パスワードをリセットした場合、パスワードは表示されますが、そのパスワードはもう一度リセットが必要になります。

案内

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.