2014年4月7日に見つかったOpenSSLの重大なバグHeartbleed。
Heartbleed
Heartbleedはインターネット上のサイトの66%が使っているOpenSSLの
トランスポート・レイヤー・セキュリティー の heartbeat 拡張 (RFC6520)に見つかったバグ。
悪用されるとメモリの一部が漏洩する可能性があります。
このバグの名前はheartbeat 拡張 (心臓の鼓動)のバグによるので「Heartbleed」(心臓の出血)と称されています。
単純に心臓出血と聞くと恐ろしいですが、それほど壊滅的なバグとも言えます。
heartbeat のバグは2012年から存在し、アメリカの情報機器NSAはheartbeat
の存在を知っていたとの事。
漏洩するメモリの大きさは64KBなので空かもしれませんが、
ユーザーのIDとパスワード、クレジットカードの番号などが含まれているかもしれませんし、
SSLの証明書、サーバーの秘密鍵が含まれているかもしれません。
また、目的のデータが出るまで何回も気付れずにサーバーのメモリの一部の64KB長さの
メモリを取得出来るので一部ではメモリガチャとも言われています。
サーバーの秘密鍵が攻撃者に渡ると、本来は暗号化して見えないハズの暗号化された通信も
鍵を悪用し、解読する事も出来てしまいます。
また、このバグが悪用されていても、気付くことが非常に難しいらしく
盗聴などの被害にあっても気付かない可能性があります。
対象となるサーバーとバーション
対象となるのはOpenSSLのみでマイクロソフトIISなどで運営している場合は対象外です。
対象となるOpenSSLのバージョンは
- OpenSSL 1.0.1 から 1.0.1f
- OpenSSL 1.0.2-beta から 1.0.2-beta1
範囲内でも修正されている可能性有!下のサイトでテストする事をおすすめします。
VPSのサーバーを確認したら
おもいっきり対象でした
ユーザーが取るべき対応
ユーザーが取るべき対応は、まずサービスがOpenSSLで
Heartbleedが修正されているか確認が必要です。
修正されていればパスワードの変更をします。
もし、修正されてない場合はパスワードを変更しても
攻撃者に見られている可能性があるので修正が済むまで見守りましょう。
修正が済んだサイトの一覧がこちらのサイトにあったので参考にしてみて下さい。
OpenSSLの重大バグ「Heartbleed」発覚に伴い、あなたが今すぐパスワードを変更するべきサービス一覧 | gori.me(ゴリミー)
Apple …
この一覧に無い場合、
Test your server for Heartbleed (CVE-2014-0160)
Heartbleed test …
からテストを行えます。
試しにeax.jpのSSLをチェックしましたが、オレオレ証明書なので
Advanced (might cause false results): ignore certificatesにチェックを入れて確認しました。
そしたら
はい、Vulnerableと表示されました出血しています。(; ̄Д ̄)
そ・こ・で、yum updateでアップデートをしたら
OpenSSLのアップデートopenssl-1.0.1e-16.el6_5.7.x86_64が
来ていたのですが、1.01Eって対象中じゃない?
と半信半疑でした、よって再テストしたら
止血されてました。
ちなみに、MacBookAirのOpenSSLのバージョンを調べたらo.9だったので
こちらも対象外でした。
サイト運営者の対応
まず、OpenSSLを使っているか確認、使っているなら上のサイトで
バグが生きてるか確認。
ApacheWebサーバを使っている場合はOpenSSLの可能性が高いです。
レンタルサーバの場合、会社に言って早め修正してもらいましょう。
自分で管理されてるなら、yum updateなのでアップデートします。
修正後、再テストしてOK修正完了です。
できれば、SSLの証明書の再取得することをおすすめします。
確認した通販サイト
秋月電子ログインページ(マイクロソフトIIS)
マルツパーツ館(マイクロソフトIIS)
DHCログイページ(修正済)
まとめ
マイクロソフトIIS以外のサイトはサイトが修正済か確認の上で
パスワードの変更をした方が良いかもしれません。
OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 -INTERNET Watch
また、サイト運営者の方は早めに修正しないと問題が明るみになったので
バグが残ったサイトを探して攻撃してくるので早めに修正して下さい。
それにしても日本のテレビ・新聞で全然報道しないのはなんでだろう?
