開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/04/23

三菱UFJニコスも被害を公表 Heartbleedで致命傷を負わないために

OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、多くのサイトで利用されているものだ。このOpenSSLに関して、2年前から重大な脆弱性があり、ID、パスワード、暗号化通信の秘密鍵が漏れる可能性があることが4月頭に発表された。4月21日現在でも、カナダでOpenSSLの脆弱性を利用した疑いで逮捕者が出ているほか、国内でも大手金融機関の三菱UFJニコスのクレジットカード会員向けWEBサービスに不正アクセスがあったりと、各種メディアで取り上げられ騒ぎとなっている。この脆弱性の概要とともに、実際どれほど危険なのか、パスワード変更は必要なのか、検証をかねて考察してみよう。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

三菱UFJニコスも被害を公表

 ちょうどWindows XPのサポート期限が切れるという日、OpenSSLに重大な欠陥が発見されたというニュースが世間を騒がせ始めた。「Heartbleed」という名前をネットのニュースや新聞紙上で見かけた人も多いのではないだろうか。

 SSLは、言わずと知れたWebサーバーとの通信を暗号化するためプロトコルだ。OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、世界中で多くのサイトが利用している。

 このOpenSSLにバッファオーバーフローに関係する脆弱性(CVE-2014-0160)が正式に公表されたのは、4月7日のCVEによるリリースからだ。発表や関連の報道、研究者のレポートによれば、この脆弱性を利用すると、暗号化通信路でやりとりされたIDやパスワード情報、最悪の場合、暗号通信の秘密鍵まで漏えいする可能性があるとのこと。しかも、この脆弱性は2年ほど前にOpenSSL 1.0.1がリリースされたときから存在していたというのだ。

 アカウント情報や秘密鍵まで盗めてしまう脆弱性が2年も放置されていたこと。それが、OpenSSLというSSL通信のスタンダードともいえるソフトウェアだったこと。攻撃の痕跡がほとんど残らないことから、政府機関や大企業も慎重を期すため、Webサービスを一時ストップして被害を調べたり、念のためのパスワード変更を促すアナウンスをしたりと、現在でも大きな騒ぎとなっている。

 国内で初の不正アクセス事案となったのは、三菱UFJニコスだ。同社では4月11日午後6時33分に不正アクセスを検知した。直ちに調査を開始したところ、OpenSSLの脆弱性を狙ったものであると判断し、影響範囲を調査するとともに、ウェブサービスを停止した。今回、同社発行のクレジットカードを保持ししているWEB会員、延べ894名の登録情報が不正閲覧されたことが判明しており、日を追うごとに深刻な問題が表出している状況だ。

「Heartbleed」はどんな脆弱性なのか

 CVE-2014-0160はどのような脆弱性かというと、SSL通信のセッションを維持するために拡張された機能(RFC6520)の実装にバッファオーバーフローに関する問題があり、これを悪用すると、サーバー上のメモリデータをクライアント(攻撃者)が読みだすことができてしまうというものだ。

 簡単に説明すると、この拡張機能はHeartbeat(心臓の鼓動)と呼ばれ、セッションを確認・維持するためサーバーとクライアントで共有するデータを定期的にやりとりする仕組み(同じ値をやりとりできている間はセッションは有効)だ。heartbeat extensionはOpenSSLでは1.0.1から実装されている。

 やり取りするデータサイズの確認に不具合があり、クライアントが0バイトのデータを送りサイズを64KBと「ウソ」つけば、サーバーが64KB分のメモリ上のデータを返してしまう。つまり、サーバーから返送されたデータを解析すれば、メモリ上に一時的に保存されたID情報や秘密鍵を発見できるかもしれないというのが今回の脆弱性だ。

 「Heartbleed(=心臓の出血)」という名前はHeartbeat extensionに由来しているが、文字通り致命傷であるという意味で、問題の重大さを表現しているものといえる。

【次ページ】ユーザーはどのような対処をすべき?

個人情報保護・マイナンバー対応 ジャンルのトピックス

個人情報保護・マイナンバー対応 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!