ハートブリード
ハートブリード(Heartbleed)とは
ハートブリード(Heartbleed)は、2014年4月に発覚したオープンソースの暗号ライブラリ「OpenSSL」に存在するソフトウェアのバグです。この脆弱性は、インターネット上のWebサーバーで広く利用されていたOpenSSLのバージョン1.0.1シリーズに存在し、サーバーのメモリ情報を外部から読み取ることが可能になるという深刻なものでした。
当時、信頼された認証局から証明書が発行されているWebサーバーの約17%(約50万台)で、この脆弱性が悪用される可能性がありました。特に、Heartbeat拡張という機能が有効になっているサーバーは、秘密鍵やユーザーのセッションクッキー、パスワードなどの機密情報が漏洩する危険に晒されました。
バグの経緯
このバグは、2011年12月31日にOpenSSLのコードベースに混入しました。OpenSSLの開発チームが受け入れた善意のパッチ(修正コード)の中に、意図せず脆弱性が含まれていました。この脆弱性を含んだコードは、2012年3月14日に公開されたOpenSSLバージョン1.0.1に広く採用されました。
2014年4月、Googleのセキュリティチームに所属するニール・メータ氏が、OpenSSL 1.0.1シリーズの全バージョンにバグが存在することを公表しました。このバグは、TLS(Transport Layer Security)のハートビート拡張プログラムのサーバーメモリ操作のエラー処理に起因していました。ハートビート拡張は、サーバーとクライアント間で接続が有効であることを確認するために使われる機能ですが、このバグにより、攻撃者はサーバーに不正なハートビートリクエストを送信することで、サーバーのメモリを最大64キロバイトずつ読み出すことが可能でした。
通常、サーバーは受け取ったデータと同じ大きさのバッファー(メモリ領域)を返しますが、このバグにより境界チェックが欠けていたため、サーバーはハートビートリクエストの大きさを検証しませんでした。結果として、攻撃者はサーバーのメモリを自由に読み取ることが可能になり、機密情報が漏洩する事態となりました。このバグには、共通脆弱性識別子としてCVE-2014-0160が割り当てられました。
バグの発見と公表
このバグを「Heartbleed(心臓出血)」と命名し、ロゴを作成して情報を公開したのは、フィンランドのサイバーセキュリティ企業であるCodenomicon社の技術者3名でした。Codenomicon社は、自社で開発中の暗号化・認証プロセスのテストツール検証中にこのバグを発見しました。Googleのニール・メータ氏も同時期にこのバグを発見し、詳細な内容は語らずにCodenomicon社を称賛しました。
監査ログの調査によると、一部の攻撃者はバグが公表される少なくとも5ヶ月前からこの脆弱性を悪用していた可能性が指摘されています。また、アメリカ国家安全保障局(NSA)は、バグが混入してから短期間のうちにこの脆弱性に気づき、秘密裏に利用していたとの報道もありましたが、NSAはこれを否定しています。
対策
ハートブリードの基本的な対策としては、以下の2つが挙げられます。
1. ハートビート拡張機能を使用しないように設定する(-DOPENSSL_NO_HEARTBEATSオプションを付けて再コンパイルする)。
2. 脆弱性を修正したバージョン(1.0.1g以降)にOpenSSLを更新する。
これらの対策を実施することで、ハートブリードの脆弱性による被害を回避することが可能です。
ハートブリード発覚後の出来事
- - 2011年12月31日: OpenSSLのソースコードにハートブリード・バグが混入。
- - 2012年3月14日: OpenSSLがバグに気づかないまま、OpenSSL 1.0.1を公開。
- - 2014年3月31日: CloudFlare社が自社製品を修正。
- - 2014年4月1日: Googleのセキュリティチームのニール・メータが、OpenSSLにハートブリード・バグを報告。
- - 2014年4月3日: Codenomicon社がNCSC-FI(旧CERT-FI)にハートブリード・バグを報告。
- - 2014年4月7日: OpenSSLがバグを修正したOpenSSL 1.0.1gを公開。
- - 2014年4月8日: ウィキメディア財団が利用者にパスワードの変更を呼びかけ。カナダ歳入庁は脆弱性を確認し、サービスの公開を停止。
- - 2014年4月10日: 警察庁が日本国内における脆弱性を標的としたパケットの増加を観測したことを発表。
- - 2014年4月11日: 三菱UFJニコスで不正閲覧事件が発生。894人のWEB会員の個人情報が不正閲覧された。
- - 2014年4月14日: カナダ歳入庁が不正閲覧を発表。900人の納税者の社会保障番号が不正閲覧された。
- - 2014年4月16日: カナダ歳入庁から個人情報を盗み出した犯人が逮捕。
- - 2014年4月24日: Linux Foundationが大手IT企業と共に「Core Infrastructure Initiative」を設立し、OpenSSLに援助を行うことを発表。
ハートブリードは、インターネットのセキュリティに対する脅威を再認識させる出来事となり、その後、多くの企業や団体がセキュリティ対策を強化するきっかけとなりました。
外部リンク
- - JPCERT「OpenSSL の脆弱性に関する注意喚起」
- - 独立行政法人 情報処理推進機構「更新:OpenSSL の脆弱性対策について(CVE-2014-0160)」
- - 独立行政法人 情報処理推進機構「OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について」
- - 警察庁「OpenSSLの脆弱性を標的としたアクセスの増加について」
- - Codenomicon社「Summary and Q&A about the bug」(英語)
- - OpenSSL「OpenSSL Security Advisory 07 Apr 2014」(英語)
もう一度検索
【記事の利用について】
タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。
【リンクついて】
リンクフリーです。