米Paloalto Networksは4月9日(現地時間)、OpenSSLにおいて「Heartbleed」と呼ばれる深刻な脆弱性が発見された問題について、同社のユーザー環境が保護されていることを発表した。

Heartbleedの問題は、OpenSSL 1.0.1~1.0.1fを実行しているサーバに影響があり、米NETCRAFTの発表では信頼できる認証局から発行された証明書を利用しているSSLWebサーバーの17%以上と推測されている。

この脆弱性(CVE-2014-0160:OpenSSL Private Key Disclosure Vulnerability)は、脆弱性のあるOpenSSLを利用しているエンタープライズ向けサーバーに深刻な影響を及ぼす。最悪の場合、SSL暗号化通信経由でエンドユーザーの通信内容が漏えいする可能性がある。

パロアルトネットワークスでは、この脆弱性に対処しており、次のようにHeartbleedの悪用からユーザー環境を保護することができるという。

まず同社製品のコアOSである「PAN-OS」は、脆弱性が確認されているバージョンのOpenSSLライブラリを使用していないため、CVE-2014-0160の影響は受けない。また、脆弱性に対する攻撃を自動で特定し、ブロックする更新シグネチャ(IPS脆弱性シグネチャID 36416)を4月9日に配信している。

同社はほかにも、すべての企業ユーザーが、4月7日に公開されたOpenSSLの最新パッチ(1.0.1g)を適用してアップデートを完了後、早急にSSL秘密鍵の入れ替えを実行すべきと警鐘を鳴らしている。

一般のエンドユーザーに対しては、インターネットを利用する際に公共のWi-Fiホットスポットの利用を控えたり、メールに記載されている知らないリンクへのアクセスを避けたり、不審なファイルのダウンロードや開封をしないことを心がけてほしいと注意を促している。