ホーム企業・組織の対策脆弱性の注意喚起 > OpenSSLの脆弱性について


OpenSSLの脆弱性について(2014年4月15日更新)

  インターネットショッピングやインターネットバンキングなど個人情報や機密情報をやり取りするサービスにおいては、通常、SSLを用いてデータを暗号化することで、これらの情報が盗み取られることを防止しています。
  このSSLの仕組みをサービスに組み込むためのソフトウェアとして、オープンソースソフトウェア(ソースコードを公開し、誰にでも利用可能にしたソフトウェア)であるOpenSSLが広く使われていますが、このOpenSSLに深刻な脆弱性(ぜいじゃくせい)が発見されました。
  この脆弱性が悪用されると、本来は暗号化されるはずの通信内容が第三者に盗み見られたりする可能性があり、該当するバージョンのOpenSSLを使用している事業者・組織においては、早急な対策が必要です。

脆弱性を持つ OpenSSL のバージョン

  脆弱性が発見された OpenSSL のバージョンは次の通りです。

  • OpenSSL 1.0.1 から 1.0.1f
  • OpenSSL 1.0.2-beta から 1.0.2-beta1

  これらのバージョンを使用しているシステムは、早急な対策が必要です。

対策の方法

OpenSSL のバージョンと適切な対策方法の確認

  OpenSSLを使用している製品は多岐に渡り、各組織のシステムにおいて、OpenSSLがどのように利用されているかは様々です。そのため、各組織において使用している製品、システムに脆弱性が存在するバージョンのOpenSSLを使用しているものがないか、システムや製品の提供元に確認する必要があります。

  脆弱性が存在するOpenSSLを使用している場合には、脆弱性対策が実施されたOpenSSLソフトウェアの適用などの対策を取る必要がありますが、各組織のシステムに応じて対策が異なる場合がありますので、システムや製品の提供元に、適切な対策実施方法を確認してください。

サーバ証明書の再設定

  Webサイトなどで OpenSSL を利用している場合は、サーバ秘密鍵が外部に漏えいして、通信の秘匿性が失われている可能性があります。また、漏えいした秘密鍵により、偽物のWebサイトなどが運用され、利用者の個人情報が盗み取られるなどの可能性もあります。

  Webサイトの管理者は、これまで利用していたサーバ証明書を失効させ、新しい秘密鍵公開鍵によりサーバ証明書の再発行を受け、システムへ再設定してください。

  サーバ証明書の失効や再発行の方法は、利用している認証局へ確認してください。