• 会員限定
  • 2014/04/23 掲載

三菱UFJニコスも被害を公表 Heartbleedで致命傷を負わないために

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、多くのサイトで利用されているものだ。このOpenSSLに関して、2年前から重大な脆弱性があり、ID、パスワード、暗号化通信の秘密鍵が漏れる可能性があることが4月頭に発表された。4月21日現在でも、カナダでOpenSSLの脆弱性を利用した疑いで逮捕者が出ているほか、国内でも大手金融機関の三菱UFJニコスのクレジットカード会員向けWEBサービスに不正アクセスがあったりと、各種メディアで取り上げられ騒ぎとなっている。この脆弱性の概要とともに、実際どれほど危険なのか、パスワード変更は必要なのか、検証をかねて考察してみよう。

三菱UFJニコスも被害を公表

 ちょうどWindows XPのサポート期限が切れるという日、OpenSSLに重大な欠陥が発見されたというニュースが世間を騒がせ始めた。「Heartbleed」という名前をネットのニュースや新聞紙上で見かけた人も多いのではないだろうか。

 SSLは、言わずと知れたWebサーバーとの通信を暗号化するためプロトコルだ。OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、世界中で多くのサイトが利用している。

 このOpenSSLにバッファオーバーフローに関係する脆弱性(CVE-2014-0160)が正式に公表されたのは、4月7日のCVEによるリリースからだ。発表や関連の報道、研究者のレポートによれば、この脆弱性を利用すると、暗号化通信路でやりとりされたIDやパスワード情報、最悪の場合、暗号通信の秘密鍵まで漏えいする可能性があるとのこと。しかも、この脆弱性は2年ほど前にOpenSSL 1.0.1がリリースされたときから存在していたというのだ。

 アカウント情報や秘密鍵まで盗めてしまう脆弱性が2年も放置されていたこと。それが、OpenSSLというSSL通信のスタンダードともいえるソフトウェアだったこと。攻撃の痕跡がほとんど残らないことから、政府機関や大企業も慎重を期すため、Webサービスを一時ストップして被害を調べたり、念のためのパスワード変更を促すアナウンスをしたりと、現在でも大きな騒ぎとなっている。

 国内で初の不正アクセス事案となったのは、三菱UFJニコスだ。同社では4月11日午後6時33分に不正アクセスを検知した。直ちに調査を開始したところ、OpenSSLの脆弱性を狙ったものであると判断し、影響範囲を調査するとともに、ウェブサービスを停止した。今回、同社発行のクレジットカードを保持ししているWEB会員、延べ894名の登録情報が不正閲覧されたことが判明しており、日を追うごとに深刻な問題が表出している状況だ。

「Heartbleed」はどんな脆弱性なのか

 CVE-2014-0160はどのような脆弱性かというと、SSL通信のセッションを維持するために拡張された機能(RFC6520)の実装にバッファオーバーフローに関する問題があり、これを悪用すると、サーバー上のメモリデータをクライアント(攻撃者)が読みだすことができてしまうというものだ。

 簡単に説明すると、この拡張機能はHeartbeat(心臓の鼓動)と呼ばれ、セッションを確認・維持するためサーバーとクライアントで共有するデータを定期的にやりとりする仕組み(同じ値をやりとりできている間はセッションは有効)だ。heartbeat extensionはOpenSSLでは1.0.1から実装されている。

 やり取りするデータサイズの確認に不具合があり、クライアントが0バイトのデータを送りサイズを64KBと「ウソ」つけば、サーバーが64KB分のメモリ上のデータを返してしまう。つまり、サーバーから返送されたデータを解析すれば、メモリ上に一時的に保存されたID情報や秘密鍵を発見できるかもしれないというのが今回の脆弱性だ。

 「Heartbleed(=心臓の出血)」という名前はHeartbeat extensionに由来しているが、文字通り致命傷であるという意味で、問題の重大さを表現しているものといえる。

【次ページ】ユーザーはどのような対処をすべき?

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます