arison.jp arison.jp blog - 現在をたのしく、未来をたのしむ。日常の思い出兼備忘録。

インターネット史上最悪のOpenSSLの脆弱性

【インターネット史上最悪のOpenSSLの脆弱性】

ネットの世界のおよそ3分の2で使われているというオ-プンソースの暗号化通信の仕組み
「オープンSSL(セキュア・ソケット・レイヤー)」を舞台にしたバグ騒動。

SSLは、そもそも今はなきネットスケープが1994年に発表した技術。
オープンSSLは、そのオープンソース版にあたる。

【どのくらいやばいのか】

壊滅的(カタストロフィック)というのは適切な表現だ。10段階で表現すれば、これは11だ。
自らのブログでそう述べたのは、著名なネットセキュリティの専門家、ブルース・シュナイアーさんだ。

で、このバグ騒動はハートブリード(心臓出血)と呼ばれている。

【ハートブリード(英語: Heartbleed)とは】

ハートブリード(英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号化ライブラリ「OpenSSL」のソフトウェア・バグのこと。
認証局から認定を受けた「安全な」インターネット・Webサーバの約17%(約50万台)には盗難攻撃に対する脆弱性(弱点)があり、
サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る状態にあった。

このバグはTransport Layer Security(TLS)のハートビート(Heartbeet)拡張プログラムのサーバーメモリ操作のエラー処理にあった。
このバグは生存確認信号の発信毎にアプリケーションメモリーを64キロバイトずつ露出することが出来た。
このバグを悪用した攻撃を何度も繰り返すことで、64キロバイト単位のデータをサーバーから継続的に盗み出すことができるわけだ。

2014年4月、Googleのセキュリティーチームのニール・メータが2012年3月14日以降のOpenSSL 1.0.1シリーズの全ての版にバグ(不具合)があると発表。
Heartbleed.comドメインを立ち上げてバグの説明を公開したのは、フィンランドのサイバーセキュリティ会社コーデノミコンの1人の技術者。

【その語源は?なぜ心臓出血と呼ばれるのか】
Heartbeet のバグで、少しずつ情報が盗まれていくことから、Heartbleedと呼ばれることになった。
(HeartbeetをもじってHeartbleedと呼ばれることになったらしい。)

【脆弱性のあるバージョン】
 OpenSSL 1.0.1 から 1.0.1f
 OpenSSL 1.0.2-beta から 1.0.2-beta1

【誰かがすでにこのバグに気づいて悪用していたのではないか】

スノーデン事件でその国際的なネット監視活動が明らかになった米国家安全保障局(NSA)は既に知っていたとのこと。
NSAはネット監視の専門家集団として有名です。

【読み出せる情報】

サーバーのメモリーから読み出せる情報には、ユーザーのIDやパスワードといった大事な情報、
さらには暗号通信を解読するための「鍵」まで含まれているという。
この「鍵」の情報は特に恐ろしい。

オープンSSLで使われている暗号技術は「公開鍵暗号」と呼ばれるものだ。

これは、「公開鍵」と「秘密鍵」という1セットの暗号鍵を使う仕組みだ。
「公開鍵」はネットで証明書とともに公開されている鍵で、ユーザーはこれを使って送信データを暗号化する。
ペアとなる「秘密鍵」で暗号化データを元の状態に戻す。
この「秘密鍵」は、受信したサーバー側だけが持っているため、途中でデータが盗聴されても暗号を解くことはできず、内容が漏れることはない
…はずなのだが、「ハートブリード」の悪用によって、この「秘密鍵」が流出してしまう可能性がある。

「秘密鍵」が盗まれてしまえば、暗号通信の中身が丸ごと解読されてしまったり、
あるいは偽サイトを立ち上げられてしまったり、と深刻な被害が予想される。

【ユーザーにできること】

バグの影響を受けるサイトが「ハートブリード」に対応したことを確認の上で、
パスワードを変更することぐらい。
ただし、サイト側が対応を済ませていないと、新しいパスワードも流出する危険がある。

【参考サイト】
ハートブリード – Wikipedia
http://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%BC%E3%83%88%E3%83%96%E3%83%AA%E3%83%BC%E3%83%89
壊滅的バグ「ハートブリード」をNSAは知っていたのか 平 和博
http://www.huffingtonpost.jp/kazuhiro-taira/nsa_b_5149377.html

OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html

更新:OpenSSL の脆弱性対策について(CVE-2014-0160):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

IIJ Security Diary Heartbleed bug による秘密鍵漏洩の現実性について
https://sect.iij.ad.jp/d/2014/04/159520.html

鍵穴以外に穴があったから、そこから、中が覗けちゃったでござるの件。
“コンピュータに詳しくない人へ。インターネット史上最悪のOpenSSLの脆弱性のニュースをわかりやすく書いてみました。ほとんどすべての人に影響します。 – 非天マザー”
http://www.b-chan.jp/entry/2014/04/11/004412

About arison

大都会岡山の南部にある玉野市生まれ。 大都会岡山のIT会社(目標は大都会No.1)でコンピュータとお客を相手に日夜格闘中。 関東出張中はグルメブログ。 基本的に遊び人のおっさん。 ライフハックとガンダム好き。ギガフロート玉野を浸透中。

11. 4月 2014 by arison
Categories: 日記 | Tags: | Leave a comment

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください