1. HOME
  2. 製品・サービス
  3. SureServer
  4. 製品技術情報
  5. OpenSSLの脆弱性「Heartbleed」について

OpenSSLの脆弱性「Heartbleed」について

「Heartbleed」とは?

「Heartbleed」はOpenSSLというオープンソースの暗号ソフトウェアライブラリ上で発見された脆弱性です。
本脆弱性は2014年4月7日にCVE-2014-0160で発表されました。

OpenSSLにはSSLの死活を監視する機能として「Heartbeat」があり、本脆弱性はこの機能の処理における境界チェックの不備に起因します。

本脆弱性が悪用された場合、システムのメモリ内の情報が第三者に閲覧され、SSL暗号化通信の内容や秘密鍵などの重要情報が漏洩する可能性があります。

※本脆弱性を発見したフィンランドのセキュリティー企業 Codenomicon 社による説明は、以下をご確認ください。
The Heartbleed Bug(英文)
http://heartbleed.com/

影響範囲

「Heartbeat」はOpenSSLのVersion 1.0.1で2012年3月14日にリリースされており、2014年4月7日に本脆弱性が修正されるまでの以下バージョンにおいて本脆弱性が有ります。

・OpenSSL 1.0.1 ~ 1.0.1f
・OpenSSL 1.0.2-beta ~ 1.0.2-beta1

※「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルしている場合を除きます。

ご確認方法

SSLサーバ証明書をご設定いただいているサーバソフトウェアやロードバランサ、SSLアクセラレータでOpenSSLが利用されていないか、また利用されている場合は該当バージョンをお使いではないかご確認ください。

なお、ご参考までに弊社の確認している情報を以下にご案内いたします。
■ 本脆弱性の対象外となるサーバ
詳細は以下の各社WEBサイトをご覧ください。
■ロードバランサやSSLアクセラレータ
恐れ入りますが、ロードバランサやSSLアクセラレータの脆弱性の有無につきましては、ご利用のマニュアルやベンダ様にご確認ください。
■OpenSSLを利用するサーバ
  • Apache
  • nginx
Apache、nginxでOpenSSLを使ってSSL通信を行っている場合、以下コマンドを実行してOpenSSLのバージョン確認をお願いします。
# openssl version
該当するバージョンのOpenSSLを利用されている場合は対策が必要です。
次項目の対策フローをご参照ください。

本脆弱性の対策フロー

該当バージョンのOpenSSLをご利用の場合、秘密鍵情報が漏えいしている可能性があり、その対策フローとしてはサーバ証明書の再発行と既存証明書の失効が必要です。

以下のフローに従ってご対応ください。
【1】OpenSSLのバージョンアップ・再コンパイル
該当バージョンのOpenSSLをご利用の場合、OenSSLを最新のバージョンへ変更します。
もしくは、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルし、「Heartbeat」を無効にします。
【2】秘密鍵・CSRの再作成
最新バージョンのOpenSSLで秘密鍵(※)とCSRを新たに作成します。
【3】サーバ証明書の再発行(※)
弊社では本脆弱性に該当するOpenSSLをお使いの場合、サーバ証明書を無償で再発行いたします。
  • ご利用中の受付番号とコモンネームを総合受付(E-mail: )までお知らせください。
  • 弊社より無償再発行用チケットコードをお知らせしますので、新しく作成したCSRにて
    再申請をお願いします。
【4】サーバ証明書の設定
新しく発行されたサーバ証明書をご利用機器へ設定します。
【5】再発行元のサーバ証明書の失効(※)
再発行されたサーバ証明書の正常動作を確認されましたら、再発行元のサーバ証明書を失効してください。
※お手続き詳細はチケットコードご案内時にお知らせいたします。

本脆弱性に伴う秘密鍵の再作成に関して

この度のOpenSSLの脆弱性「Heartbleed」の対応について、秘密鍵を再作成せずに再発行したサーバ証明書を適用しているWEBサイトが世の中に多数存在しているとして、英国のNetcraft社が注意喚起しています。

  ■ Netcraft社(http://www.netcraft.com/
http://news.netcraft.com/archives/2014/05/09/keys-left-unchanged-in-many-heartbleed-replacement-certificates.html

  本脆弱性が悪用された場合、秘密鍵が漏えいしている可能性があるため、その対応として、秘密鍵を再作成した上でサーバ証明書を再発行することが重要となります。

  サーバ証明書を再発行されたお客様におかれましては、以下4点につきまして、再度ご確認をお願いします。
  • OpenSSLのバージョンアップ(または再コンパイル)の実施
  • 秘密鍵の再作成、およびその秘密鍵から新たに作成したCSRにて弊社へお申し込み
  • 再発行したサーバ証明書の利用機器への設定
  • 再発行元のサーバ証明書の失効の実施
 
特に上記「2」について未対応の場合、秘密鍵の再作成後に改めてサーバ証明書の再発行を承りますので、上記の「本脆弱性の対策フロー」に従い、再度ご対応をお願いします。

FAQ

Q.本脆弱性に該当しないバージョンのOpenSSLでCSRを作成しました。影響はありますか?
A.はい。
CSR作成時のOpenSSLのバージョンに関わらず、実際にSSL通信を行っているご利用機器のOpenSSLのバージョンが本脆弱性に該当するバージョンの場合は影響を受けます。
Q.該当バージョンより古いOpenSSLを利用している場合、影響はありますか?
A.いいえ。
本脆弱性の影響は受けません。ただし、セキュリティ上の観点から最新バージョンのご利用を推奨いたします。
Q.証明書の再発行や証明書の失効は必須ですか?
A.はい。
該当バージョンをご利用の場合、秘密鍵情報の漏えいを否定できないため、必須としています。
Q.サイバートラストのサーバ証明書だけで起こりますか?
A.いいえ。
発行元の認証局に関わらず、該当バージョンのOpenSSLでサーバ証明書をご利用いただいている場合に影響を受けます。
Q.サイバートラストのシステムに影響はありますか?
A.いいえ。
サイバートラストのシステムには影響ございません。ご安心ください。
Q.再発行されたサーバ証明書をインストールする際、中間CA証明書も設定を変更する必要がありますか?
A.いいえ。
現在ご設定されている中間CA証明書は、引き続きご利用いただけます。

ただし、以下の条件を満たす場合は中間CA証明書も設定を変更する必要があります。

・SureServer[2048bit]・SureServer[SHA-2]をご利用
・再発行元のサーバ証明書の発行日が2013年8月2日20:59(JST)以前である
page top