1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. OpenSSLに情報漏えいの脆弱性(CVE-2014-0160)が確認される

OpenSSLに情報漏えいの脆弱性(CVE-2014-0160)が確認される

OpenSSLに情報漏えいの脆弱性(CVE-2014-0160)が確認される一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は、4月8日、OpenSSL Projectが提供する「OpenSSL」のheartbeat拡張に情報漏えいの脆弱性(CVE-2014-0160)が確認されたとして、注意喚起を発表した。

OpenSSLとは、インターネット上での標準的な暗号化通信の仕組み(プロトコル)であるSSLやTLSに対応した、オープンソースのライブラリー(プログラム部品)のこと。オープンソースの形態で公開されており、自分の開発したソフトウェアにSSL/TLSによる暗号化機能を組み込む手段として幅広く利用されているものだ。

脆弱性が存在するのは、OpenSSLの1.0.1系と呼ばれる「バージョン1.0.1から1.0.1f」、および1.0.2系と呼ばれる「バージョン1.0.2-betaから1.0.2-beta1」。なお、「バージョン1.0.0」系列以前にはこの脆弱性は存在しない。

この脆弱性が悪用されると、遠隔地の攻撃者が細工したパケットを送付することなどにより、システムのメモリ内の情報が閲覧され、パスワードや暗号化に使う秘密鍵といった重要な情報が盗み取られる可能性がある。

開発者がとるべき対策としては、本脆弱性を修正した「バージョン1.0.1g」が公開されているので、十分なテストを実施の上、修正済みバージョンを適用することが推奨される。1.0.2系は、今後公開される「バージョン1.0.2-beta2」で修正される予定だ。

なお、一般のユーザーがこの脆弱性に対し、自衛のためにできることはほとんどないということで、サイト側が即座に対応するのは技術的に難しいケースもあるため、長期的に攻撃の対象となる可能性を指摘する専門家もいる。

OpenSSL の脆弱性に関する注意喚起(JPCERT/CC)
OpenSSL の heartbeat 拡張に情報漏えいの脆弱性(JVNVU#94401838)
OpenSSL の脆弱性対策について(CVE-2014-0160)(IPA)
・(英文)Heartbleed Bugの解説サイト
OpenSSL の脆弱性 (Heartbleed Bug) に関する Q&A(WWW WATCH)
OpenSSLの「Heartbleed」脆弱性、一般ユーザーの自衛は困難 対応は長期戦か(ITmedia)

関連キーワード:

OpenSSL

情報漏えい

脆弱性

  • OpenSSLとは
  • カテゴリートップへ
  • 根岸征史氏に聞く「誰もが安心して利用できるネットワークやサービスへの思い」(前編)