2014年4月11日金曜日

OpenSSLの脆弱性

株式会社Pro-SPIREソリューション事業部の鳶田です。


本日はOpenSSLの脆弱性が発覚した件についてお話します。

OpenSSLは、オープンソースのライブラリプログラム(外部のソフトウェアから呼び出して利用することができる)の一つです。
暗号通信プロトコルのSSLとTLSの暗号通信機能を組み込むことが可能です。
また、オープンソースなので、誰でも自由に暗号通信機能を組み込む手段として扱えます。

IT用語辞典 e-Words - OpenSSL
http://e-words.jp/w/OpenSSL.html

※上記のリンクは外部サイトが別ウィンドウで開きます。

そのOpenSSLから、情報漏えいに繋がる脆弱性が2014年4月7日(米国時間)に発覚しました。
なお、その影響は国内でも拡大しています。
脆弱性はOpenSSLバージョン1.0.1 / 1.0.2系に存在してます。
Heartbeat拡張の実装に生じた致命的なバグから、「Heartbleed(心臓出血)」バグと称されてます。



ロゴまで製作されました。

The Heartbleed Bug
※上記のリンクは外部サイトが別ウィンドウで開きます。




バグの特徴は次の通りです。

・秘密鍵、ユーザ情報などのサーバのプロセス内の情報が全て読み取られる可能性がある。
・セッション情報を悪用され、なりすましに使われる恐れがある。

@IT atmarkIT - OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
※上記のリンクは外部サイトが別ウィンドウで開きます。

ハイレベルなビデオ解説が下記のWebサイト上で公開されているようです。
雰囲気だけでも仕組みがわかるかと思います。ご覧ください。

[ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの?

※上記のリンクは外部サイトが別ウィンドウで開きます。

脆弱性の確認方法は、いくつかのサービスやツールによって行えます。
その一つとして、米クォリスが提供しているWebサービス「SSL Server Test」があります。
HeartBleedバグの有無だけではなく、SSLに関する総合的なテストが行えます。
※テスト結果はデフォルトで掲載されるため気をつけてください。
 もし掲載したくない場合は、『Do not show the results on the boards』にチェックを入れてください。

QUALYS SSL LABS

※上記のリンクは外部サイトが別ウィンドウで開きます。

今回のOpenSSLに限らず、普段扱っているソフトウェアはどれも確実に安全なわけではありません。
どこか疑いを持ちながら、よく理解したうえで使用しましょう。
まかせきりになっているとバグに気づくことはできません。

以上、本日の小話でした。

0 件のコメント:

コメントを投稿