JPCERTコーディネーションセンター(JPCERT/CC)は2014年4月8日、TLSやSSLを利用するためのライブラリ「OpenSSL」に見つかった情報漏えいの脆弱性について注意を呼びかけた。この脆弱性は、「OpenSSL」の開発を進める「OpenSSL Project」が4月7日(米国時間)に公表したもの。脆弱性を抱えたOpenSSLを利用するコンピュータに対して、悪意ある攻撃者がリモートから細工したパケットを送り付けると、メモリー上の情報が閲覧されてしまう危険がある。

 影響を受けるバージョンは、OpenSSL 1.0.1~同1.0.1f、OpenSSL 1.0.2-beta~同1.0.2-beta1である。対策は、OpenSSL Projectが公開している脆弱性を修正したバージョンのOpenSSLを適用することだ。修正済みバージョンとしては、OpenSSL 1.0.1系列向けにOpenSSL 1.0.1gが公開されている。OpenSSL 1.0.2-beta系列については、現時点では修正済みのバージョンは存在しない。OpenSSL 1.0.2-beta2のリリース時に修正される見通しだ。

 OpenSSLを含むOSやアプリケーションを利用しているユーザーは、当該ソフトウエアの提供元が公開するセキュリティ情報を確認し、必要なら修正プログラムを適用する必要がある。例えばJPCERT/CCは脆弱性に関する注意喚起の中で、Debian、Red Hat Enterprise Linux、Ubuntuなどのセキュリティ情報を紹介している。

 運用上の理由などで修正プログラムの適用が難しい場合は、「-DOPENSSL_NO_HEARTBEATS」というオプションを有効にしたうえで、OpenSSLを再コンパイルするという回避策が推奨されている。

 フィンランドのセキュリティ企業であるCodenomiconは、同社のWebサイトでこの脆弱性に関するQ&Aを公開している。それによると、この脆弱性はRFC6520で規定されたTLSのHeartbeat拡張を、OpenSSLに実装した際のバグに起因するもの。つまり、SSL/TLSのプロトコル規格そのものに関する脆弱性ではないという。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら