2014年4月11日
クロストラスト株式会社
OpenSSL脆弱性への推奨対応手順と注意点について
2014年4月8日付で告知させていただいた 「OpenSSL 1.0.1(及びOpenSSL1.0.2-beta)に発見された重大な脆弱性(The Heartbleed Bug)」 について、これまでにお客様へ実施したサポート内容や皆様から頂いたご意見等を元に、弊社が推奨する対応手順や具体的な注意点を下記に取りまとめ公開させていだきます。今後本件脆弱性に対応される方々のご参考になれば幸いです。
- 脆弱性の有無の確認
まずは、現在使用しているOpenSSLのバージョンをご確認下さい。今回の脆弱性は特定バージョンのOpenSSL(OpenSSL 1.0.1から1.0.1f 及び 1.0.2-beta1)にのみ存在します。OpenSSLを利用していない場合は影響がありません。また、OpenSSL1.0.0 あるいは 0.9.8 をご利用の場合も影響がありません。本件脆弱性に便乗したパスワード変更を促すフィッシング等も報告されておりますので、影響のないことが確認された場合はこれらフィッシングへの注意喚起と合わせてユーザーに周知することをおすすめします。
なお、オペレーティングシステム(OS)によって脆弱性のあるバージョンの表記が異なる場合があります。詳しくは以下を参照下さい。
(Ubuntu) USN-2165-1: OpenSSL vulnerabilities
(RedHat)Important: openssl security update
(Debian)Debian Security Advisory DSA-2896-1 openssl — security update
(FreeBSD) [ports] Revision 350548
(OpenBSD) Patches for OpenSSL bounds checking bug
(NetBSD)CVS log for src/crypto/external/bsd/openssl/dist/Makefile
※その他のOSにつきましては各ベンダーからの情報をご参照下さい。
なんらかの理由でお客様側での確認が難しい場合には、弊社が4月10日よりご提供を開始した「OpenSSL脆弱性確認サービス」の利用をご検討いただければ幸いです。
- OpenSSLのバージョンアップ等の実施
公開サーバにおいて今回の脆弱性が存在する場合、第三者が当該サイトにおいて痕跡を残すことなく本来秘密であるべき情報(例:秘密鍵やパスワード)を読み取ることが可能であり、すでにその事例も公表されています。ただし今のところ本脆弱性を悪用した攻撃がどれだけの範囲で実行されているかは明らかになっておりません。
以上の前提において想定される影響の深刻さに鑑み、当該サイトにおける本脆弱性の修正が完了するまで、サイトの公開を停止することを含めた対応のご検討をおすすめいたします。当該サイトの公開を継続する場合には、できるだけ速やかに対処済みの最新バージョン(4月10日現在は OpenSSL 1.0.1g)へ移行すること、またはご利用のOSのアップデートを行うことを推奨いたします。また、最新バージョンへのアップデート後は、OpenSSLが関連するプロセスの再起動が必要となります。なんらかの理由で最新バージョンへの移行が難しい場合、次に推奨されるのは「OPENSSL_NO_HEARTBEAT」のフラグを立てた上で再コンパイルすることです。
※1 OpenSSL 1.0.2beta2については近い将来にリリースされることが見込まれています。
※2 過去のバージョンであるOpenSSL 1.0.0 あるいは 0.9.8 には他の既知の脆弱性を利用した攻撃(例えば BEAST:Browser Exploit Against SSL/TLS)へのリスクが発生するため、弊社からは積極的に推奨いたしかねます。今回発見された脆弱性(The Heartbleed Bug)の重大さに鑑み、どうしても他に選択肢のない場合に限りご検討されることをおすすめします。
- 秘密鍵及びCSRの再生成と証明書の入れ替え
現在利用中の証明書に使用されている秘密鍵が漏洩しているリスクを受容できない場合、秘密鍵及びCSRの再生成と証明書の入れ替えが必要となります。この際、必ず秘密鍵とCSRを新規に生成し直すことが重要です。(前回証明書発行時に使用したCSRを再利用したのでは意味がありません)必ず前項2)の作業が完了しているか、あるいは独立した別の(脆弱性のないバージョンのOpenSSLがインストールされた)サーバ上で作業して下さい。脆弱性のあるサーバで使用していた証明書については、認証局に対し失効を依頼して下さい。また、今回の脆弱性対応とは直接関係ありませんが、このタイミングでSSL接続時に使用される暗号アルゴリズム(Cipher Suites)を確認することをおすすめします。(弊社が推奨する設定)
- パスワードの変更等
今回の脆弱性を利用して、悪意のある第三者が本来SSLで保護されているべきパスワード等の情報を読み取るリスクがあることが指摘されています。前項3)までの本件脆弱性への対応が完了していない場合には、パスワードを変更したとしても再度新しいパスワードが漏洩する恐れがあることにご注意下さい。逆にユーザの視点から見た場合には、パスワードを変更しようとする時点において当該サイトが対策済みである(あるいは元々影響を受けていない)ことを確認できる必要があります。
また、パスワードの変更をユーザに促す場合には、他のサイトで利用している(あるいは利用したことがある)パスワードを再利用しないよう、ユーザへの十分な注意喚起をおすすめします。
特に重要な情報をとりあつかうサイトにおいては、この脆弱性が存在した最大約2年間の間に情報が漏洩したリスクについて評価・検討することが推奨されます。
【本件に関するお問い合わせ先】
クロストラスト株式会社 認証サービス部
Tel:011-596-6358
E-mail:sales@crosstrust.co.jp