Skip to content

OpenSSLに存在する「Heartbleed」脆弱性についての注意喚起

OpenSSLに存在する脆弱性「Heartbleed」とは

「Heartbleed」(CVE-2014-0160)とは、「Heartbeat」と呼ばれる拡張機能を利用する全てのOpenSSL(※1)に存在する脆弱性です。
「Heartbleed」が悪用されると、攻撃者はサーバのメモリから痕跡を残さずに情報を読み出すことが可能になり、その結果、秘密鍵、ユーザ名、パスワード、クレジットカード情報、機密書類などの情報が盗まれる可能性があります。

※1 OpenSSL:SSL/TSL通信を行うためのオープンソースのライブラリ。Webサーバ、メールサーバ、チャットサーバ、仮想プライベートネットワーク(VPN)、ネットワークアプライアンスまで幅広く利用されています。

影響を受けるOpenSSLのバージョンとその影響範囲

OpenSSLのアドバイザリによると、以下のOpenSSLのバージョンが影響を受けます。

  • OpenSSL 1.0.1 から 1.0.1f
  • OpenSSL 1.0.2-beta から 1.0.2-beta1

また、「Heartbleed」の影響を受けるWebサイトは次の通りです(※2)。

  • 影響を受けるWebサイトは世界トップ100万ドメインの約5%
  • 影響を受ける割合が最大のTLDは、「.KR」と「.JP」

※2 トレンドマイクロ調べ。Webサイト解析ツールなどを提供する「Alexa」が公開しているトップ100万ドメインから、特定の国々のトップレベルドメイン(TLD)名を抽出したスキャニング調査より。調査の詳細はセキュリティブログをご覧ください。

一般のお客さまが行うべき対策

  • 関連サイトで必要性がある場合には、サーバ側が脆弱性の影響を受けないことを確認したうえでパスワードを変更してください。また自分のオンラインアカウント、クレジットカードの利用履歴で疑わしい動きがないか確認してください。
  • ブラウザがサーバ証明書の失効を確認する設定になっているか、改めて確認してください(サーバ証明書の秘密鍵が漏えいしていた場合の脅威から身を守るため)。
    ブラウザごとの確認方法
    ■Internet Explorerの場合
    ツール>インターネットオプション>詳細設定>セキュリティ>「サーバーの証明書失効を確認する」にチェックが入っていることを確認してください。
    ■Google Chromeの場合
    設定>詳細設定を表示…>HTTPS/SSL>「サーバー証明書の取り消しを確認する」にチェックが入っていることを確認してください。
    デフォルトではチェックなしになっていますので、チェックを入れてください。
  • 端末のセキュリティソフトウェアを最新の状態にアップデートしてください。

Webサイト管理者が行うべき回避策・対策

  • OpenSSL バージョン 1.0.1gにアップグレード、または、Heartbeat拡張を無効にしてアプリケーションを再コンパイルしてください(脆弱性を解消するための対応)。
  • 上記に加えて、SSL証明書の失効と新しい鍵ペアを用いて発行した新証明書への置き換えを行ってください(万が一秘密鍵が漏えいしていた場合に備えた対応)。

トレンドマイクロが提供できる対策

法人のお客さま向け製品において、下記の対策を提供しています。

Trend Micro Deep Security:ルール「DSRU-14-009」以降に更新する

  • 1006010 – Restrict OpenSSL TLS/DTLS Heartbeat Request
  • 1006011 – OpenSSL TLS/DTLS Heartbeat Information Disclosure Vulnerability
  • 1006012 – Identified Suspicious OpenSSL TLS/DTLS Heartbeat Request

Trend Micro Virtual Patch for Endpoint (旧 Trend Micro脆弱性対策オプション):以下のフィルタを適用する

  • 1006016 – OpenSSL TLS/DTLS Heartbeat Message Information Disclosure Vulnerability
  • 1006017 – Restrict OpenSSL TLS/DTLS Heartbeat Message

Deep Discovery:ネットワーク挙動監視において、本脆弱性を攻撃する通信を検知可能にする


最終更新日時:2014年4月25日