「Heartbleed」の脆弱性問題、Web管理者とユーザーの対策ポイント

OpenSSLで見つかった「Heartbleed」脆弱性への対策ポイントをセキュリティ各社が紹介している。シマンテックは、サイト利用者のためのツールも公開した。

[ITmedia]

　SSL/TLS実装の「OpenSSL」に脆弱性（通称「Heartbleed」）が見つかった問題は、非常に多くのWebサイトに影響を及ぶ可能性が指摘されている。セキュリティ各社ではWebサイトの管理者や利用者に向けて、対策を講じる上でのポイントを紹介している。

　この脆弱性はOpenSSLのTLSのHeartbeat拡張に起因する。攻撃者に悪用された場合、通信内容を盗聴されてログイン情報や個人情報、暗号鍵などのデータが漏えいする恐れがある。OpenSSLは非常に多くのWebサイトに導入されている。

　Webサイト管理者に向けてSymantecやF-Secureでは以下の対策ポイントを挙げている。

• 脆弱性のあるバージョン（OpenSSL 1.0.1〜1.0.1fおよび同1.0.2-beta〜1.0.2-beta1）を利用しているものを全て特定する
• 脆弱性を修正したOpenSSL 1.0.1gに更新する（4月8日現在、1.0.2-beta〜1.0.2-beta1の公開されていない）か、Heartbeat拡張を使わずにOpenSSLを再コンパイルする
• 秘密鍵やSSLサーバ証明書の漏えいを疑われる場合は新しいものを作成する
• 証明書の作成やサーバの設定を見直す
• 追加的なセキュリティ対策を検討する（F-Secureは一例としてPerfect Forward Securityの実装を紹介）
• エンドユーザーのパスワードリセットを検討する

　Webサイト利用者への注意点は以下の通り。

• 利用しているプロバイダーからの情報を常に確認する（情報漏えいの可能性やパスワード変更の必要性などが想定される）
• パスワード変更を促すなどのメールがフィッシングかどうか、細心の注意を払い、公式サイトのドメインも確認する
• 信頼できる著名なWebサイトとサービスだけを利用する（対策が完了している可能性が高い）
• 銀行口座やクレジットカードの明細に注意し、不審な取引がないかどうかを確認する

　SymantecではWebサイトに今回の脆弱性が存在しているかを確認できるチェックサイトも公開している。

Symantecが公開したチェックサイト