NEWS

ニュース | 最新のニュースをお届けします

OpenSSLの脆弱性(Heartbleed:ハートブリード)に関する注意喚起 [更新]

この記事をシェア

この記事は、マルウェアやセキュリティに関して、
キヤノンITソリューションズ株式会社から発信する情報です。


本ページでは、OpenSSLの脆弱性「CVE-2014-0160」(Heartbleed:ハートブリード)に関する注意喚起として、セキュリティリスクや対策についてご説明します。

【ESETプログラムについて】
Windows版のESETプログラムにつきましては、「OpenSSL」を使用していないため、本脆弱性の影響がないことを確認できております。また、Linux/Mac/Android版のESETプログラムについても、影響がないことを確認しております。

以下ESETプログラムについて、影響がないことを確認しております。

[個人向けプログラム]

[法人向けサーバー・クライアントプログラム]

[法人向けサーバー専用プログラム]

[法人向けクライアント専用プログラム]

◆はじめに

2014年4月現在、オープンソースのSSL/TLSライブラリである「OpenSSL」の特定のバージョンにおいて、深刻な脆弱性が確認されています。 ここでは、以下のような注意喚起および対策をご案内しております。

1. OpenSSLの脆弱性(Heartbleed:ハートブリード)とは

2014年4月現在、オープンソースの SSL/TLSライブラリである「OpenSSL」の特定のバージョンにおいて、深刻な脆弱性「CVE-2014-0160」が確認されています。この脆弱性が悪用されると、Webサーバーのメモリー内データが読み取られ、結果として個人情報が流出する恐れがあります。
この脆弱性のことを通称、「Heartbleed(ハートブリード、心臓出血)」と呼んでいます。

2. OpenSSLの脆弱性(Heartbleed:ハートブリード)に伴うセキュリティリスク

脆弱性が放置されたままの「OpenSSL」(下記のバージョン)が使用されているWebサイトからは、ログインアカウント情報やクレジットカード番号などの個人情報が流出する危険性があります。
現在「ネットバンキング」や「ショッピングサイト」などのインターネットを介した取引をご利用の場合は、不正な引き落とし等が発生していないか、ご確認をお願いいたします。
<脆弱性があるOpenSSLのバージョン>

  • OpenSSL 1.0.1 から 1.0.1f
  • OpenSSL 1.0.2-beta から 1.0.2-beta1

なお、こちらのWebサイトでは、簡易的に脆弱性の検証を行うことが出来ます。
また、弊社が無作為に抽出した日本国内の主要なWebサイト(100サイト)からは、この脆弱性が放置されたままのWebサイトは確認されませんでした。

3. Web管理者の対策

Webサイト管理者の方は、速やかに以下の対策を実施および検討してください。

① OpenSSLのバージョンアップ

OpenSSLを使用している全てのサーバーをバージョン「1.0.1g」にアップグレードする。
■すぐにアップグレードできない場合
OpenSSLの、「-DOPENSSL_NO_HEARTBEATS」オプションを有効にして OpenSSL を再コンパイルする。

② OpenSSLバージョンアップ後の対応

OpenSSLのバージョンアップ後に以下の対応を実施および検討してください。
■証明書の再設定
ご利用していた「証明書」を失効させ、新しい「秘密鍵」を用いて「証明書」を再取得・再設定してください。
■ユーザーへパスワード変更を依頼
ユーザーへ本リスクと対応策を告知した上で、パスワードの変更を依頼してください。

4. ユーザーの対策

一般の方は、下記の対策を実施および検討してください。

① 必要に応じて、パスワードの変更を実施

各Webサイトの注意喚起などに従い、Webサイト側の対策が実施された後にログインパスワードを変更してください。
なお、今回の問題に乗じたフィッシングメールが届く恐れがあります。メールの送信元やメールのリンク先を確認し、フィッシングの2次被害にご注意ください。

② しばらくの間、銀行口座やクレジットカードの明細に注意し、不審な取引がないか確認

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!