質問

Advanced Search

Alert ID : ALERT831

Last Modified : 06/04/2018

Security Advisory - OpenSSL Heartbleed Bug

Description

2014年4月7日、セキュリティ研究者チームはOpenSSL暗号ソフトウェアライブラリにおける深刻な脆弱性「HeartbleedBug」を発見したことを発表しました。シマンテックでは、現在この脆弱性について調査していますが、この脆弱性は、悪意を持った第三者(攻撃者)が脆弱なバージョンのOpenSSLソフトウェアを利用しているシステムメモリー上にある大量のデータを読み取り、暴露することを可能にします。

サーバのシステムメモリーには機密性の高いデータが置かれていることが多く、通信データの暗号化・複号に利用される秘密鍵が漏えいすれば、攻撃者により、クライアントから暗号化されて送信されたユーザ名やパスワードなどの情報が盗まれるリスクが高まります。

シマンテックは、以下の対応を推奨しています。

【証明書をご利用のお客様】

  • OpenSSLのバージョンを確認し、バージョン1.0.1から1.0.1fを利用している場合には最新のバージョンであるOpenSSL 1.0.1gへアップグレードするか、Heartbeat機能を除いて再コンパイルします。
  • 上記の対応を行った後、証明書を再発行し、置き換えます。
  • すでにシステムメモリー上の情報が漏えいしている場合を想定し、エンドユーザのパスワードの変更を推奨します。


【ウェブサイトの利用者様】

  • 該当するウェブサイトと通信を行った場合、データが第三者に見えていた恐れがあることに注意してください。
  • 利用するウェブサイトやベンダーから連絡に従い、必要な場合にはパスワードの変更などの対策を行ってください。
  • 攻撃者からのフィッシングメール、偽装サイトへのアクセスなどに十分注意し、ウェブサイトへアクセスする際には正しいドメインであることの確認を行ってください。


1. OpenSSLやApacheを利用していません。何か対応は必要ですか?

この脆弱性の影響はSSL/TLS通信のためにOpenSSLを利用している場合に限られます。該当するOpenSSLのバージョンを利用していない場合には、特別な対応は不要です。

2. 対象のバージョンと影響範囲

  • OpenSSL 1.0.1 から1.0.1f は、本脆弱性の対象です。
    ※ただし、Heartbeat機能を除いてコンパイルされている場合は、本脆弱性の対象ではありません。
  • OpenSSL 1.0.1g、1.0.0グループ、0.9.8グループは、本脆弱性の対象ではありません。


3. コードサイニング証明書やセキュアメールIDはこの脆弱性の対象ですか?

対象ではありません。今回の脆弱性の対象はSSLサーバ証明書(サーバID)のみです。

4. Heartbleed bug はSSL/TLプロトコルのデザイン上の欠陥ですか?

いいえ。この脆弱性はOpenSSLライブラリのプログラミングのミスによるものであり、 SSL/TLプロトコルのデザイン上の欠陥ではありません。また、シマンテックの証明書の問題でもありません。

5. 該当するかどうか確認したいのですが

以下のチェックサイトで該当のバージョンを利用しているか否かの確認が可能です。
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

※合同会社シマンテック・ウェブサイトセキュリティ(日本法人)より証明書を購入されたお客様は、
 
これ以降のご案内は、専用のAdvisory AD835 をご参照ください。

6. 対処方法を教えてください

  • OpenSSLをバージョン1.0.1gにアップグレードします。
    • アップグレードが難しい場合は、DOPENSSL_NO_HEARTBEATSオプションをつけてOpenSSLを再コンパイルします。
    • OpenSSLのアップデートや再コンパイルの方法についてはサーバ管理者にご確認ください。
    • この脆弱性が改修されたOpenSSL 1.0.1gはこちらに公開されています。
  • OpenSSL 1.0.1gを利用してウェブサーバ(Apache, nginx)をアップデートします。
  • 安全対策としてOpenSSLのアップグレード後にサーバ証明書を交換することを強く推奨します。
    注意: 再発行された証明書をインストールするまでは、既存の証明書を失効しないでください。  
  • 再発行のための秘密鍵とCSRを生成してください。
    注意: すでに漏えいしている恐れがありますので、既存の秘密鍵とCSRを再利用しないでください。  
  • Symantec Trust Center accountを利用して証明書を再発行する場合には、 SO7146を参照してください。
  • Symantec Trust Center Enterprise accountを利用して証明書を再発行する場合には、 SO10700を参照してください。
  • Partner channelから証明書を再発行する場合には、 SO17278を参照してください。
  • Managed PKI for SSL account利用して証明書を再発行する場合には、 SO4266を参照してください。
  • 再発行された証明書のインストール後、既存の証明書はサーバやデバイスから削除してください。更に動作確認後には既存の証明書は失効させる必要があります。


7. 元のSSLサーバ証明書は直ちに失効されますか?

新しい証明書のインストールが終わり次第、お客様にて失効を行っていただく必要があります。既存の証明書が失効されるまでの時間はシステムに依存します。証明書の失効情報はOCSPには直ちに反映されますが、CRL(破棄リスト)に追加されるまでには24時間程度かかります。

8. サーバIDの再発行に費用はかかりますか?

サーバIDの再発行に費用はかかりません。

9. サーバIDの再発行にはどれくらい時間がかかりますか?

事前審査が必要な場合には、それに依存します。審査が不要な場合には即日発行が可能な場合もあります。
詳細は以下のサポート窓口にお問い合わせください。

Retail Customer Support
Managed PKI for SSL Customer Support

※上記は、Symantec Corporationよりご取得いただいたお客様専用のサポート窓口(英語)です。
 合同会社シマンテック・ウェブサイトセキュリティ(日本法人)より証明書を購入されたお客様は、

 Advisory AD835 をご参照の上、日本法人専用の窓口にお問い合わせください。

10. 利用しているその他のシマンテック製品に影響はありますか?

一連のシステムの中で脆弱性に該当するバージョンのOpenSSLが利用されている場合、影響を受ける可能性があります。OpenSSLのバージョンアップデートなどの適切な対応を取る必要があります。

11. Heartbleed bug の詳細

Heartbleed bug に関する詳細は、以下をご参照ください。
CVE-2014-0160
https://www.openssl.org/news/secadv_20140407.txt
http://heartbleed.com
http://www.symantec.com/connect/blogs/heartbleed-openssl-take-action-now