この記事は、マルウェアやセキュリティに関して、
キヤノンITソリューションズ株式会社から発信する情報です。
本ページでは、OpenSSLの脆弱性「CVE-2014-0160」(Heartbleed:ハートブリード)に関する注意喚起として、セキュリティリスクや対策についてご説明します。
【ESETプログラムについて】
Windows版のESETプログラムにつきましては、「OpenSSL」を使用していないため、本脆弱性の影響がないことを確認できております。また、Linux/Mac/Android版のESETプログラムについても、影響がないことを確認しております。
以下ESETプログラムについて、影響がないことを確認しております。
[個人向けプログラム]
[法人向けサーバー・クライアントプログラム]
[法人向けサーバー専用プログラム]
[法人向けクライアント専用プログラム]
◆はじめに
2014年4月現在、オープンソースのSSL/TLSライブラリである「OpenSSL」の特定のバージョンにおいて、深刻な脆弱性が確認されています。 ここでは、以下のような注意喚起および対策をご案内しております。
1. OpenSSLの脆弱性(Heartbleed:ハートブリード)とは
2014年4月現在、オープンソースの SSL/TLSライブラリである「OpenSSL」の特定のバージョンにおいて、深刻な脆弱性「CVE-2014-0160」が確認されています。この脆弱性が悪用されると、Webサーバーのメモリー内データが読み取られ、結果として個人情報が流出する恐れがあります。
この脆弱性のことを通称、「Heartbleed(ハートブリード、心臓出血)」と呼んでいます。
2. OpenSSLの脆弱性(Heartbleed:ハートブリード)に伴うセキュリティリスク
脆弱性が放置されたままの「OpenSSL」(下記のバージョン)が使用されているWebサイトからは、ログインアカウント情報やクレジットカード番号などの個人情報が流出する危険性があります。
現在「ネットバンキング」や「ショッピングサイト」などのインターネットを介した取引をご利用の場合は、不正な引き落とし等が発生していないか、ご確認をお願いいたします。
<脆弱性があるOpenSSLのバージョン>
- OpenSSL 1.0.1 から 1.0.1f
- OpenSSL 1.0.2-beta から 1.0.2-beta1
なお、こちらのWebサイトでは、簡易的に脆弱性の検証を行うことが出来ます。
また、弊社が無作為に抽出した日本国内の主要なWebサイト(100サイト)からは、この脆弱性が放置されたままのWebサイトは確認されませんでした。
3. Web管理者の対策
Webサイト管理者の方は、速やかに以下の対策を実施および検討してください。
① OpenSSLのバージョンアップ
OpenSSLを使用している全てのサーバーをバージョン「1.0.1g」にアップグレードする。
■すぐにアップグレードできない場合
OpenSSLの、「-DOPENSSL_NO_HEARTBEATS」オプションを有効にして OpenSSL を再コンパイルする。
② OpenSSLバージョンアップ後の対応
OpenSSLのバージョンアップ後に以下の対応を実施および検討してください。
■証明書の再設定
ご利用していた「証明書」を失効させ、新しい「秘密鍵」を用いて「証明書」を再取得・再設定してください。
■ユーザーへパスワード変更を依頼
ユーザーへ本リスクと対応策を告知した上で、パスワードの変更を依頼してください。
4. ユーザーの対策
一般の方は、下記の対策を実施および検討してください。
① 必要に応じて、パスワードの変更を実施
各Webサイトの注意喚起などに従い、Webサイト側の対策が実施された後にログインパスワードを変更してください。
なお、今回の問題に乗じたフィッシングメールが届く恐れがあります。メールの送信元やメールのリンク先を確認し、フィッシングの2次被害にご注意ください。
② しばらくの間、銀行口座やクレジットカードの明細に注意し、不審な取引がないか確認
