HOME情報セキュリティ更新:OpenSSL の脆弱性対策について(CVE-2014-0160)

本文を印刷する

情報セキュリティ

更新:OpenSSL の脆弱性対策について(CVE-2014-0160)

最終更新日:2014年4月15日

ウェブサイト運営者の方へ - OpenSSL 脆弱性対策のお願い

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。
この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。

図1

一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます:

  • 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合)
  • 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合)

既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。

対象

以下のバージョンが本脆弱性の影響を受けます。

  • OpenSSL 1.0.1 から 1.0.1f
  • OpenSSL 1.0.2-beta から 1.0.2-beta1

対策

脆弱性の解消

The OpenSSL Project または OS ベンダ等から提供されているアップデート、修正プログラム、パッチ等を適用してください。詳しくは、各ベンダへ確認ください。

状況に応じて、以下の対策をしてください:

  1. The OpenSSL Project が提供する OpenSSL を直接利用している場合は、対象サーバの OpenSSL を 1.0.1g 以降にアップデートしてください。
  2. The OpenSSL Project が提供する OpenSSL を直接利用している場合で、かつ、アップデートが難しい場合には、-DOPENSSL_NO_HEARTBEATS オプションを有効にして OpenSSL を再コンパイルしてください。
  3. 上記以外の形態で OpenSSL を利用している場合、および、OpenSSL を組み込んだ製品を利用している場合は、提供元に対策を確認してください。

証明書の再設定

ウェブサイトで OpenSSL を利用している場合、秘密鍵が既に漏えいしている可能性があります。ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定してください。証明書の失効・再発行等の手続きは、各認証局へ確認ください。

以下の順で対応してください:

  1. 認証局に対して、証明書の失効と再発行を依頼してください。再発行依頼の際には、これまで使っていた秘密鍵を破棄し、新しく生成した秘密鍵を用いてください。
  2. 認証局から再発行された証明書を、対象サーバに設定してください。

ウェブサイト利用者へのアナウンス

https でアクセスできるウェブサイトを運営している場合、ウェブサイト運営者は状況に応じて、利用者へ以下をアナウンスするよう検討してください:

  1. 当該脆弱性の影響を受けないことを確認したウェブサイト運営者は、影響を受けないことを利用者アナウンスしてください。
  2. 対策を完了したウェブサイト運営者は、対策を完了したことを利用者アナウンスしてください。その際、利用者へのお願いがあれば併記してください(たとえばパスワードの変更など)。

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2014年4月15日 対策の追記
2014年4月14日 概要と対策の更新
2014年4月11日 攻撃コードおよび関係する情報の追記
2014年4月8日 掲載