Heartbleed バグ

関連エラー

"このサーバーは Heartbleed 攻撃に対して脆弱性があります。最新バージョンの OpenSSL に更新し、お使いのウェブサーバーまたは機器で証明書を入れ替え、危殆化したサーバーメモリで表示される場合があるエンドユーザーパスワードをリセットします。"

問題

Heartbleed バグは、OpenSSL 暗号ライブラリの Heartbeat 拡張機能中にあります。OpenSSL バージョン 1.0.1 ~ 1.0.1f および 1.0.2-beta1 の暗号ライブラリは、Heartbleed バグ攻撃に対して脆弱性があります。Heartbleed バグ脆弱性は、OpenSSL 暗号ライブラリ内の脆弱さで、この結果、攻撃者は、通常は SSL と TLS プロトコルで保護されている機密情報にアクセスできます。

OpenSSL は、暗号機能を採用し、別のユーティリティ機能を提供する暗号ライブラリを含め、セキュアソケットレイヤ (SSL) とトランスポートセキュリティレイヤのセキュリティ (TLS) プロトコルをじっすするオープンソースツールキットです。この暗号ライブラリは一般的に、インターネットのトラフィックの多くを安全保護するために、インターネット上のサーバーにより実装されています。

攻撃者は、Heartbleed バグ攻撃を利用し、以下にアクセスできます。

  • 暗号化キー
    攻撃者は、これらのキーを利用して、お使いのウェブサイトへの過去および未来のセキュア通信の復号を行い、いつでもお使いのウェブサイトになりすますことができます。
  • ユーザー資格情報
    攻撃者は、お使いの顧客ユーザー名とパスワードを利用し、お使いのウェブサイトが安全保護する情報にアクセスできます。
  • 保護されたコンテンツ
    攻撃者は、個人または財務詳細、プライベート通信(メールやインスタントメッセージ)およびドキュメントにアクセスできます。
  • 担保
    攻撃者は、メモリアドレスやセキュリティ対策など、漏洩したメモリコンテンツにアクセスできます。

ソリューション

ソフトウェアをパッチ修正

Heartbleed バグから環境を保護する場合、脆弱性のあるバージョンの OpenSSL を実行しているサーバー上で OpenSSL を、および影響を受けたバージョンの OpenSSL ライブラリを使用してソフトウェアを修正します。

最新バージョンの OpenSSL (バージョン 1.0.1g またはそれ以降) ニアアップグレードします。

  • サーバー
    パッケージマネージャが更新済 OpenSSL パッケージになっているかをチェックし、インストールします。更新済 OpenSSL パッケージがない場合は、最新バージョンの OpenSSL をサービスプロバイダーから取得します。
  • ソフトウェア
    リリースされたソフトウェアパッチをチェックして Heartbleed バグ脆弱性を修正し、インストールします。ソフトウェアパッチがない場合は、ソフトウェアベンダーにお問い合わせの上、最新パッチを取得してインストールします。
    注意:パッチ修正後、OpenSSL ライブラリのリセットと、Heartbleed バグのキャッシュメモリからの削除を確認するため、お使いのソフトウェアの再起動が必要な場合があります。

パッチ修正後、OpenSSL ライブラリのリセットと、Heartbleed バグのキャッシュメモリからの削除を確認するため、お使いのソフトウェアの再起動が必要な場合があります。

最新バージョンの OpenSSL にアップグレードできない場合:

  • OpenSSL バージョン 1.0.0 またはそれ以前にロールバックします。
  • OpenSSL を OPENSSL_NO_HEARTBEATS フラグでリコンパイルします。

Heartbleed バグ脆弱性がパッチ修正されたかを確認します。

DigiCert Discovery を使用して環境を再スキャンし、Heartbleed バグ攻撃への脆弱性がないかを確認します。

証明書のキーを変更、証明書を再発行およびインストールする

  • 影響を受けたサーバー上のすべての証明書のキーを変更および再発行します。
    証明書を再発行する場合、新しい 証明書署名申請 (CSR) を生成したかを確認します。「CSR を作成する」を参照してください
  • サーバーおよびソフトウェアをパッチ修正した後、およびパッチ修正してから後ではじめて、再発行証明書をインストールします。

入れ替えた証明書を失効にする

再発行済証明書をインストールした後、入れ替えた証明書を失効にする必要があります。証明書を失効にするには、認証局にお問い合わせください。

DigiCert 顧客の場合は、support@digicert.com にてサポートまでメールにてお問い合わせください。証明書のオーダー番号および失効を希望する内容について簡単な説明が含まれているかを確認します。

パスワードをリセットする

お使いのサーバーがパスワードを承認した場合、クライアントのパスワードもリセットしますが、リセットするのは、サーバーとソフトウェアのパッチ修正および証明書のキー変更、再発行、インストールおよび失効後のみです。

サーバー/ソフトウェアのパッチ修正および証明書のキー変更、再発行、インストールおよび失効前に、パスワードをリセットした場合、パスワードは表示されますが、そのパスワードはもう一度リセットが必要になります。