|
脆弱性を悪用した攻撃手法 |
シマンテックは、同社のセキュリティブログでパッチ未適用のサーバーに深刻な脅威となる Heartbleed 脆弱性について報告した。
パッチ未適用のサーバーには、深刻な危険が及ぶ恐れがあり、Heartbleedと呼ばれるこの脆弱性を悪用すると、攻撃者はセキュア通信を傍受して、ログイン情報や個人データ、さらには暗号鍵といった機密情報を盗み出すことができる。
Heartbleed、すなわちOpenSSL TLSの"Heartbeat"拡張機能に存在する情報漏えいの脆弱性(CVE-2014-0160)は、OpenSSL の Heartbeat というコンポーネントに影響を及ぼす。
OpenSSLは、SSL(Secure Sockets Layer)プロトコルとTLS(Transport Layer Security)プロトコルにおける普及率がきわめて高いオープンソース実装となる。
攻撃者は、OpenSSLに存在するHeartbleed脆弱性を悪用して、ペイロードのサイズに関する情報を偽装することができる。たとえば、実際には1KBしかないペイロードを64KBと詐称して送信できる。
結果として、1KB のペイロードを受信したとすると、サーバーはメモリに格納されている別の 63KB 分のデータも一緒に送り返すことになり、この部分に、ユーザーのログイン情報や個人データ、さらにはセッション鍵や秘密鍵が含まれている恐れがある。
シマンテックによると、Heartbleedは、近年SSL/TLS関連で発見された脆弱性のなかでも特に深刻だという。この脆弱性の性質と、最も普及しているSSL/TLS実装に影響するという事実から、これは緊急のリスクにつながる可能性があるとしている。
企業向けの注意事項としてはOpenSSLライブラリの脆弱性であるため、SSL/TLSプロトコルそのものや、シマンテックが発行する「SSL サーバ証明書」の欠陥ではない点を挙げる。
OpenSSL 1.0.1~1.0.1fを使っている場合には、最新の修正版(1.0.1g)に更新するか、Heartbeat拡張機能を使わずにOpenSSLを再コンパイルする必要がある。
修正版OpenSSLへ更新後、脆弱性が悪用されたことでWebサーバーの「SSL サーバ証明書」が侵害された、または秘密鍵を盗まれたと考えられる場合には、認証局に連絡して「SSL サーバ証明書」の再発行を依頼すべきとも忠告している。
ほかに、基本的なセキュリティ対策として、侵入を受けたサーバーのメモリから漏えいした可能性を考慮し、エンドユーザーのパスワードをリセットすることも検討する必要がある。
一方で消費者向けの注意事項としては、利用しているサービスプロバイダのサーバーが脆弱な場合は、データが第三者に盗み見られた可能性がある。そのため、利用しているプロバイダからのHeartbleed脆弱性に関する通知を見逃さないようにすることが重要だ。もし、脆弱性を確認したプロバイダからパスワードを変更するよう連絡があった場合には、指示に従って速やかにパスワードを変更すべきだという。
しかしながら、たとえパスワードの更新を促す内容であっても、脆弱性情報に便乗した攻撃者のフィッシングメールである可能性には注意を払う必要がある。公式サイトのドメインを確認したうえで、偽装されたWebサイトにアクセスしないように気を付けた方が良いとしている。
