Symantecによる「Heartbleed」の状況整理と対策方針（シマンテック）

4月16日、都内で行われた株式会社シマンテックの記者発表会において、同社Trust Services　プロダクトマーケティング部　上席部長　安達徹也氏が、OpenSSLの脆弱性（Heartbleed）について言及した。

脆弱性と脅威セキュリティホール・脆弱性

2014.4.18 Fri 14:17

株式会社シマンテック　Trust Services　プロダクトマーケティング部　上席部長　安達徹也氏全 7 枚拡大写真

4月16日、都内で行われた株式会社シマンテックの記者発表会において、同社Trust Services　プロダクトマーケティング部　上席部長　安達徹也氏が、OpenSSLの脆弱性（Heartbleed）について言及した。

Heartbleedとは、OpenSSLの拡張機能「Heartbeat」を利用している場合に、SSL通信を行うためのチェック機能を果たしていないバグを突いた攻撃のことである。Heartbleedは、「SSL暗号通信を行うサーバ」「OpenSSLの特定のバージョン（1.0.1から1.0.1f）」「拡張機能Heartbeatの利用」で問題が発生する。

影響範囲は、上記条件に該当するWebサイトと、そのWebサイトに個人情報を入力した利用者。Heartbleedの脆弱性を狙われると、パスワードやクレジットカード等の個人情報のみならず、通常は漏えいすることのないサーバの秘密鍵が漏えいする。秘密鍵が漏えいすると、SSL暗号通信が解読され、偽のコピーサイトが作られる等の恐れがある。

Alexaの調査結果によると、日本時間4月16日0時時点で、上位1,000のWebサイトにおいては脆弱性への対策が済んでおり、上位50,000のWebサイトでHeatlbleedに対し脆弱なサイトは1.8％である。

安達氏は、Webサイト管理者の対策として、「OpenSSLを修正版（1.0.1g）に更新する、またはHeartbeat機能を使わない」「OpenSSLの更新後、サーバ証明書を再発行し証明書を入れ替え、古い証明書を失効させる」を挙げた。また、Webサイト利用者へ「利用しているWebサイトからのパスワード変更を喚起されたら速やかに実施する」「パスワード更新ページのURLを確認し、フィッシングメールである可能性に注意する」「銀行口座やクレジットカードの明細で不審な取引がないか確認する」といった対策を行うよう呼びかけた。

《ScanNetSecurity》