Heartbleed(ハートブリード)とは

Heartbleed(ハートブリード)とは、「OpenSSL」の「Heartbeat」拡張に存在する情報漏えいの脆弱性(CVE-2014-0160)のこと。なお、Heartbleedとは「心臓出血」の意味。

OpenSSLとは、インターネット上での標準的な暗号化通信の仕組み(プロトコル)であるSSL/TLSに対応したライブラリー(プログラム部品)のこと。オープンソースの形態で公開されており、自分の開発したソフトウェアにSSL/TLSによる暗号化機能を組み込む手段として幅広く利用されているものだ。SSL/TLSに対応した全世界のWebサイトのうち、約6割以上で使用されているとも言われる。

脆弱性は、通信相手が存在しているかを確認する機能「Heartbeat」拡張の実装に問題があったというものだ。脆弱性が悪用されると、遠隔地の攻撃者が細工したパケットを送付することなどにより、システムのメモリ内の情報が閲覧され、パスワードや暗号化に使う秘密鍵といった重要な情報が盗み取られる可能性がある。

脆弱性が存在するのは、OpenSSLの1.0.1系と呼ばれる「バージョン1.0.1から1.0.1f」、および1.0.2系と呼ばれる「バージョン1.0.2-betaから1.0.2-beta1」。なお、「バージョン1.0.0」系列以前にはこの脆弱性は存在しない。

管理者がとるべき対策としては、脆弱性を修正した最新版のプログラムにアップグレードすることが推奨される。その他、「SSL サーバ証明書」の発行元の認証局に連絡して再発行を依頼することや、エンドユーザーのパスワードをリセットするといったセキュリティ対策を検討する必要がある。

また、独立行政法人情報処理推進機構(IPA)は、一般ユーザーがとるべき対応について、「Webサイトの対応状況を確認する」「証明書の失効確認を有効にする(Webブラウザーの確認)」「Webサイト運営者からの指示に従う」の3点を挙げている。

・更新：OpenSSL の脆弱性対策について(CVE-2014-0160)(IPA)
・IPAが「OpenSSL」の脆弱性について一般ユーザーの対応を公開(セキュリティニュース)