2014年4月7日、セキュリティ研究者チームはOpenSSL暗号ソフトウェアライブラリにおける深刻な脆弱性「HeartbleedBug」を発見したことを発表しました。
この脆弱性は、悪意を持った第三者(攻撃者)がOpenSSLソフトウェアの脆弱なバージョンで保護されたシステムメモリー上にある大量のデータを読み取り、暴露することを可能にします。
サーバのシステムメモリーには機密性の高いデータが置かれていることが多く、通信データの暗号化・復号に利用される秘密鍵が漏えいすれば、攻撃者によりクライアントから暗号化されて送信されたユーザ名やパスワードなどの情報が盗まれるリスクが高まります。
・OpenSSLのバージョンを確認し、OpenSSL1.0.1から1.0.1fのバージョンを利用している場合には以下いずれかの対処を行ってください。
(1) DOPENSSL_NO_HEARTBEATSオプションをつけてOpenSSLを再コンパイルする。
(2) 最新のバージョンであるOpenSSL 1.0.1hへアップグレードする。(2014年6月13日更新)
・その後、新しいCSRを生成してSSLサーバ証明書の再発行(Replace)または新規申請を実施し、新しいSSLサーバ証明書をインストールの上、現在ご利用中の証明書を失効(Revoke)してください。
※ジオトラストではディスティングイッシュネームが同じ場合は、無償で再発行を行うことが可能です。
・すでにシステムメモリー上の情報が漏えいしている場合を想定し、エンドユーザのパスワードの変更を推奨いたます。
・該当するウェブサイトと通信を行った場合、データが第三者に見えていた恐れがあります。
・利用するウェブサイトやベンダーから連絡に従い、必要な場合にはパスワードの変更などの対策を行ってください。
・攻撃者からのフィッシングメール、偽装サイトへのアクセスなどに十分注意し、ウェブサイトへアクセスする際には正しいドメインであることを確認してください。
1. OpenSSLやApacheを利用していません。何か対応は必要ですか?
この脆弱性の影響はSSL/TLS通信のためにOpenSSLを利用している場合に限られます。該当するOpenSSLのバージョンを利用していない場合には、特別な対応は不要です。
2. 対象のバージョンと影響範囲
HeartbleedBugは、OpenSSLのSSL/TLSハンドシェイクの処理方法に関連しているため、SSLハンドシェイク中にOpenSSLライブラリを使用したサーバのみが影響を受けます。
OpenSSL以外のサーバソフトウェアには影響しません。
・OpenSSL 1.0.1 から1.0.1f は、本脆弱性の対象です。
・OpenSSL 1.0.1g、1.0.0グループ、0.9.8グループは、本脆弱性の対象ではありません。
3. Heartbleed bug はSSL/TLプロトコルのデザイン上の欠陥ですか?
いいえ。この脆弱性はOpenSSLライブラリのプログラミングのミスによるものであり、 SSL/TLプロトコルのデザイン上の欠陥ではありません。
また、ジオトラストの証明書の問題でもありません。
4. 該当するかどうか確認したいのですが
以下KBに記載のチェックサイトで該当のバージョンを利用しているか否かの確認が可能です。
※シマンテックのSSLTool Boxへリンクしています。
5. 対処方法を教えてください
・OpenSSLのバージョンを確認し、OpenSSL1.0.1 から 1.0.1f のバージョンを利用している場合には以下いずれかの対処を行ってください。
(1) DOPENSSL_NO_HEARTBEATSオプションをつけてOpenSSLを再コンパイルする。
(2) 最新のバージョンであるOpenSSL 1.0.1h へアップグレードする。(2014年6月13日更新)
・その後、新しいCSRを生成してSSLサーバ証明書の再発行(Replace)または新規申請を実施し、新しいSSLサーバ証明書をインストールの上、現在ご利用中の証明書を失効(Revoke)してください。
※ジオトラストではディスティングイッシュネームが同じ場合は、無償で再発行を行うことが可能です。
・すでにシステムメモリー上の情報が漏えいしている場合を想定し、エンドユーザのパスワードの変更を推奨いたます。
SSLサーバ証明書の再発行に関しては、以下のFAQをご参照ください。
6. 元のSSLサーバ証明書は直ちに失効されますか?
新しいSSLサーバ証明書のインストールが終わり次第、お客様にて失効申請を行っていただく必要があります。
失効処理に関しては、弊社サポートまでメールにてお問い合わせください。弊社から申請責任者に失効に関する電話確認をさせていただく頂く場合がございます。
送信先: auth_support_japan@geotrust.com
送信情報:
・リクエスト番号 or オーダー番号:
・Organizational Name(組織名):
・Common Name(コモンネーム):
・依頼者会社名:
・依頼者氏名:
・失効理由:OpenSSL 脆弱性対応
7. SSLサーバ証明書の再発行に費用はかかりますか?
SSLサーバ証明書の再発行に費用はかかりません。
8. SSLサーバ証明書の再発行にはどれくらい時間がかかりますか?
ジオトラストの営業時間に申請した場合には即日または翌営業日、営業時間外に申請した場合には翌営業日の発行となります。
9. 利用しているその他のジオトラスト製品に影響はありますか?
一連のシステムの中で脆弱性に該当するバージョンのOpenSSLが利用されている場合、影響を受ける可能性があります。OpenSSLのバージョンアップデートなどの適切な対応を取る必要があります。
10. Heartbleed bug の詳細
Heartbleed bug に関する詳細は、以下をご参照ください。
CVE-2014-0160 <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160>
https://www.openssl.org/news/secadv_20140407.txt