Heartbleed 脆弱性
OpenSSL 1.0.1のHeartbeatの実装に問題があったため、メモリの内容が誰でも読み取れてしまう状況となっていました。
この問題を悪用すると、サーバー内の秘密情報(SSLの秘密鍵や、ユーザーが送信したすべての情報、内部で使用している資格情報など)が誰でも読み出せてしまう可能性があります。
どのように問題を起こすか
これを悪用すると、以下のような情報が誰でもサーバーから取得できてしまう可能性があります。
- サーバーに送信されたすべてのアカウント情報(ユーザー名・パスワードなど)
- サーバーに送信されたすべての個人情報(氏名・住所・メールアドレス・電話番号や、クレジットカードやキャッシュカードの番号など)
- サーバーに保存されており、処理を行う上で必要となるすべての情報(TOTPの秘密鍵・SSL証明書の秘密鍵など
- 上記のほか、サーバープロセスのメモリ上に保管されているすべての情報
上記の情報が必ずすべて取得できるとは限らないのですが、繰り返し取得動作を行えば、すべての情報を取得できてしまう可能性があります。
なお、このような取得のための動作を行った際、通常はサーバー上のログには残りません。特別な設定を行った場合はログに残るという可能性もあるのですが、一般的には攻撃を行ったという痕跡は一切残らないことになります。
どうすればよいのか
一般利用者の場合
残念ながら、一般利用者ができる有用な対策はありません。以下で紹介する際となどでこの脆弱性があるかを確認して、ある場合は、サーバー管理者に修正を依頼する(と同時に修正が確認されるまでそのサイトの利用を極力控える)くらいしかできません。
この脆弱性は、サーバー側のソフトウェアの問題となっています。そのため、クライアント側でできうる対策はないということになります。
Webサイトの運営者の場合
今すぐ、運営しているWebサイトがこの脆弱性の影響を受けないか確認してください。速やかに確認しないと、利用者の情報が外部に流出してしまいます。もしかしたら、すでに流出しているかもしれません。
もし、この脆弱性の影響を受けることが判明した場合、直ちに以下の対応を取ってください。
- 脆弱性の影響を受けないバージョンにアップデートする
- サーバーを再起動する
- (可能であれば)サーバー証明書の秘密鍵を変更し、管理者パスワードや内部で使用しているパスワードをすべて変更する。
- (可能であれば)利用者にパスワードの変更を依頼する
なお、アップデートの方法については、サーバーごとに異なる可能性がありますので、マニュアル等を参考にしてください、また、場合によっては、脆弱性を修正したバージョンが提供されていない可能性もあります。その場合は、回避策を実行する必要があります。回避策の実行方法については、各自でマニュアル等を参照してください。
Webサイトを運営しているサーバーがレンタルサーバー等で、各自でアップデートなどの作業ができない場合(サーバーは自前またはそれに準ずるものであっても、管理を外部委託している場合を含みます)は、サーバーの管理者に至急脆弱性の解消の処置を取るよう依頼してください、また、処置がとられるまでの間は、サイトを一時停止することも検討してください。
影響を受けるかを確認する
当サイトでは、Heartbleedの脆弱性があるかを確認する方法は提供しておりません。その代わりに、以下のWebサイトで確認することが可能です。
上記Webサイトは、当サイトとは別のサイトです。上記サイトを利用することによって発生した損害は、当サイトは一切責任を負いかねます。
当サイトでの対応
当サイトでは、この脆弱性に対し、以下の対応を行いました。
- 脆弱性の影響を受けないバージョンにソフトウェアを更新する(更新後に念のためサーバー自体を再起動(OSを含む)しました。通常はサーバーソフトウェアの再起動のみで問題ないはずですが、予想外のところで影響が出る可能性を排除するためです。)
- プライベートCAを使用している証明書の秘密鍵を更新(なお、CA自体の秘密鍵はサーバー上には保管しておらず、またSSL通信では一切利用していないため影響はありません。)
- トップページにこの脆弱性の影響を受けた可能性がある旨表記。パスワードの変更についても言及している
- その他、対応できるところは対応(詳細は省略)
以上のように対応を行っておりますので、当サイトは安心して利用できます。