暗号化プログラム「OpenSSL」に、非常に危険な脆弱性……heartbeat拡張

エンタープライズセキュリティ

注目記事

2014.4.9（水）6:45

　JPCERTコーディネーションセンター（JPCERT/CC）および情報処理推進機構（IPA）は4月8日、OpenSSL Projectが提供するライブラリ「OpenSSL」のheartbeat拡張に、情報漏えいの脆弱性が存在することを発表した。

　この脆弱性（CVE-2014-0160）は、通称「Heartbleed」と呼ばれているもので、OpenSSLがウェブの情報暗号化に広く使われている技術のため、海外セキュリティ企業などが強い警告を発している。情報を集約したサイト「heartbleed.com」も公開中だ。

　この脆弱性を悪用すると、第三者が細工したパケットを送付することで、システムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得する可能性がある。

　該当するバージョンは、OpenSSL 1.0.1から1.0.1f、OpenSSL 1.0.2-betaから1.0.2-beta1。すでにOpenSSL Projectからは、本脆弱性を修正したバージョン「OpenSSL 1.0.1g」が公開されている。なおOpenSSL 1.0.2-betaについては、2014年4月8日現在、修正済みのバージョンは公開されていない（1.0.2-beta2 で対応予定）。

　管理するシステムにおいて該当するバージョンのOpenSSLを使用している場合は、OpenSSL Projectが提供する修正済みバージョンへアップデートすることが強く推奨されている。一時的には、「-DOPENSSL_NO_HEARTBEATS」オプションを有効にしてOpenSSLを再コンパイルすることでも回避可能。

《冨岡晶》