HOME情報セキュリティ情報セキュリティ対策脆弱性対策「OpenSSL」の古いバージョンを利用しているウェブサイトへの注意喚起

本文を印刷する

情報セキュリティ

「OpenSSL」の古いバージョンを利用しているウェブサイトへの注意喚起

-ウェブサイト運営者は脆弱性対策情報を収集し、バージョンアップを!-

最終更新日 2009年9月8日
掲載日 2009年9月8日

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、オープンソースの「OpenSSL」(開発者:OpenSSL Project)の脆弱性について、「既に脆弱性対策を施したバージョンが公表されているにも関わらず、未適用のウェブサイトがある」旨の届出が増加していることから、本ソフトウェアを利用しているウェブサイト運営者に対し、迅速なバージョンアップ実施を呼びかけるため、「注意喚起」を発することとしました。

 2008年11月頃から、OpenSSL(SSL/TLS実装(*1))を使用している複数のウェブサイトに対して、「開発者から脆弱性対策を実施したバージョンが既に公表されているのにも拘らず、ウェブサイト運営者がそのバージョンを適用していないのではないか?」という旨の届出が増加しています。

 具体的には、2005年10月に公表された「OpenSSLにおけるバージョン・ロールバックの脆弱性(*2)」の修正バージョン未適用の届出が、2009年8月末までに88件ありました。ウェブサイト運営主体の内訳は、民間企業が50、地方公共団体が27、政府機関が9、団体(協会・組合など)が2となっています(図1)。

 IPAでまとめた「2008年のコンピュータ不正アクセス届出状況(*3)」では、実被害があった原因の第1位は「IDやパスワードの管理・設定の不備」で35件(29%)、第2位が「古いバージョンの使用やパッチの未適用」で16件あり、13%を占めています。

 近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっています。ウェブサイト運営者は、自組織が使用しているソフトウェアの脆弱性対策情報を定期的に収集し、未対策の場合はソフトウェアに修正プログラム(パッチ)を適用する、もしくはソフトウェアをバージョンアップする必要があります。

 なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*4)」で、このようなウェブサイトの不適切な運用に関しては、注意喚起などの方法で広く対策実施を促した後に処理を取りやめることとなりました。今後、「OpenSSL」の古いバージョンの利用によるウェブサイトの脆弱性の届出は受理しますが、取扱いを終了し、統計情報として活用します。

図1.OpenSSLバージョンアップ未実施のウェブサイトに対する届出の運営主体の内訳

1. 「OpenSSL」の脆弱性について

  OpenSSLには、2005年10月に公表されたバージョン・ロールバックの脆弱性があります。 この脆弱性を悪用されると、図2に示すように、弱い暗号化通信方式を強制されてしまいます。このため、暗号通信を解読され、情報が漏えいする可能性があります。

 また、OpenSSLには、バージョン・ロールバックの脆弱性の他にも、バッファオーバーフローの脆弱性やサービス運用妨害 (DoS) の脆弱性が公表されています。

図2.OpenSSLにおけるバージョン・ロールバックの脆弱性

図2. OpenSSLにおけるバージョン・ロールバックの脆弱性

2. 対策
2.1 対策方法

 「OpenSSL」を利用しているウェブサイト運営者は、脆弱性対策を施した最新版へのバージョンアップを実施してください。現時点で既知の脆弱性については2009年3月25日に公開されたOpenSSL 0.9.8k以降において対策が施されているため、これ以前のものを使用している場合は、OpenSSL 0.9.8k以降へのバージョンアップが必要です。

 また、今後新たな脆弱性が公表される可能性がありますので、定期的に開発者の発信する情報を収集し、最新版へのバージョンアップを実施してください。

2.2 使用中の「OpenSSL」のバージョン確認方法

 「OpenSSL」の管理者は下記の手順により、使用中の「OpenSSL」のバージョン確認が可能です。なお、パッケージから「OpenSSL」をインストールした場合は、バージョン表記が異なる可能性があるので注意が必要です。

  • コマンドラインからopensslを実行する(図3)

図3. OpenSSLのバージョン確認例

図3. OpenSSLのバージョン確認例

3.脆弱性対策情報の収集方法

3.1 脆弱性対策情報データベースJVN iPediaの活用

 JVN iPedia( http://jvndb.jvn.jp/ )は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのデータベースを目指し、(1)国内のソフトウェア製品開発者が公開した脆弱性対策情報、(2)脆弱性対策情報ポータルサイトJVN(*5)で公表した脆弱性対策情報、(3)米国立標準技術研究所NIST(*6)の脆弱性データベース「NVD(*7)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しており、2009年9月現在、7,200件を超える情報を格納しています。

 JVN iPediaでは開発者ごとに公開されている脆弱性対策情報を一か所に集約することで、複数の開発者から情報を収集する手間を省き、効率的な情報収集を可能としています。また、さまざまな組織が公開する情報を横断的に知りたい場合や、特定のソフトウェアに存在する脆弱性について知りたい場合も、図4に示すように、複数の検索条件を指定することにより、効率的に情報を収集することができます(図4をクリックするとJVN iPediaでOpenSSLを検索した結果が表示されます)。

 さらに、検索結果一覧の中から、概要や影響を受けた時の深刻度、影響を受けるシステム、対策情報などの詳細な脆弱性対策情報が入手できます。

図4.JVN iPediaの脆弱性対策情報の検索機能

図4.JVN iPediaの脆弱性対策情報の検索機能
(図をクリックするとOpenSSLを検索した結果が表示されます)

3.2 脆弱性対策情報収集ツールMyJVNの活用

 MyJVN( http://jvndb.jvn.jp/apis/myjvn/ )は、JVN iPediaに登録された多数の情報の中から、利用者が、利用者自身に関係する情報のみを効率的に収集できるように、フィルタリング条件設定機能、自動再検索機能、脆弱性対策チェックリスト機能などを有し、2008年10月23日から公開しています。

 図5に示すように、利用者が収集したい製品開発者やソフトウェアなどのフィルタリング条件を一度設定しておけば、その後はMyJVNへアクセスするだけで、設定したソフトウェアの最新の情報だけが自動的に表示され、非常に効率的に情報を収集することができます。

 更に、脆弱性対策が具体的にどこまでできているか確認するための、脆弱性対策チェックリストを出力する機能も有しています。

図5.MyJVNの脆弱性対策情報のフィルタリング機能

図5.MyJVNの脆弱性対策情報のフィルタリング機能

3.3 パッチ対策の緊急度の評価

 IPAでは脆弱性の深刻度を評価したCVSS(*8)基本値を公表しています。JVN iPediaのCVSS計算ツール(図6)を用いると、各組織での対象製品の利用範囲や、攻撃を受けた場合の被害の大きさなどを考慮し、製品利用者自身が脆弱性への対応を判断ためのCVSS環境値を計算することが可能です。

 この結果を基に、例えばCVSS環境値が7.0以上は緊急にパッチ、4.0以上は月次パッチ、それ以外は定期保守でパッチなど、パッチ対策の緊急度の見極めに活用できます。

図6.JVN iPediaのCVSS計算ツール

図6.JVN iPediaのCVSS計算ツール

脚注

(*1)暗号化通信の方式であるSSL: Secure Sockets LayerおよびTLS: Transport Layer Securityを実現するための、ライブラリ等を含む一連のソフトウェア。

(*2)詳細は次のURLを参照下さい。
http://jvndb.jvn.jp/jvndb/JVNDB-2005-000601

(*3)詳細は次のURLを参照下さい。
http://www.ipa.go.jp/security/txt/2009/documents/2008all-cra.pdf

(*4)情報セキュリティ早期警戒パートナーシップガイドライン。
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

(*5)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*6)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*7)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*8)共通脆弱性評価システムCVSS v2概説。
http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティ センター 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2009年9月8日 掲載