OpenSSLの脆弱性がどういった物なのか

2014年4月19日

OpenSSLの脆弱性を突いて国内で被害

OpenSSLの脆弱性攻撃で国内に被害　三菱UFJニコスで情報の不正閲覧 – ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1404/19/news014.html

既に各所のメディアで報じられていますが、 OpenSSLの脆弱性をついて被害が出ています。事が銀行系クレジットカード会社なだけに恐ろしい限りです。

総務省のwebからも注意喚起がなされています。

OpenSSLの脆弱性について｜脆弱性の注意喚起｜企業・組織の対策｜国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/vulnerability/01-openssl.html

更新：OpenSSLの脆弱性対策について(CVE-2014-0160)：IPA 独立行政法人情報処理推進機構
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

OpenSSL のサイトから脆弱性の情報 CVE-2014-0160 が発表されたのが7日の事で、9日より同サイトへの不正アクセスが始まったようです。オープンソースは公開されている事での抑止力の裏で、こういったスピード勝負の犯罪が出てしまうのは、人のモラルの問題なので悩ましい所だと思えます。

これを教訓に、機関や個人が適切に対処できるかどうかの試され時ではないでしょうか。また、本件に便乗した二次被害も注意して避けていきたいところです。

この脆弱性はHertbleedバグと名付けられました。
Heartbleed Bug
http://heartbleed.com/

なかなかしゃれた名前を付けられたものです…。語源はHeartbeatで、ネットワーク接続を維持するためのpingのような機能の事です。ネットワークでの生存を確認する事から心拍と名付けられましたが、これを食い破ってデータが漏れ出す事から心臓出血となったようです。

OpenSSLに限らず、通信関連の機構において様々な実装がなされていますが、今回発覚したのはOpenSSLのこの機能の実装がまずかったというお話です。

pingはWindowsを例にすると、送信元の32バイトのペイロードデータがそのまま応答データとして返ってきて（ヘッダ部を省く）、これをもって通信先が生きている事を確認します。

件のHeartbeatは64kバイトのペイロードデータが用意されていて、先頭の1kバイトが送信データとして使用されています。
これを受け取った送信先は、自身の64kバイトの不定データに受け取った1kバイトをコピーし、64kバイトのデータとして送り返します。

つまりHeartbeatのリクエスト毎に63kバイトの何らかのデータが漏えいした事になります。物がメモリ上のデータなだけに形跡はログにも残りませんし、連続した63kバイトものデータとなると、近隣で処理された重要なデータが含まれてないとも限りません。

ハッキングに関する詳しい情報は開示されていませんが、この63kバイトのデータを収集され続けハッキングの足掛かりにされたものと思います。

公の機関については各々対策を取ってもらうほかありませんが、個人で OpenSSL を使用している場合も対策をとるべきでしょう。

シマンテックのweb上に個人で出来る対策について書かれているので心当たりがあれば対応しましょう。

Heartbleed – OpenSSL 脆弱性について | シマンテック
http://www.symantec.com/ja/jp/outbreak/?id=heartbleed

因みに、我が家で使用している実験用のサーバーにはFedoraが入っているので、この手の脆弱性の対応は比較的早く行われます。

因みに我が家で唯一受け入れているSSLのアクセスはOpenVPNですが、TLS-Authを使用しているため今回の件には該当しませんでした。正しくないTLSのパケッはを破棄されます。この件はフォーラムに投稿されています。

OpenVPN Support Forum • CVE-2014-0160 / Heartbleed : Off Topic, Related
https://forums.openvpn.net/topic15526.html

まだ、コメントがありません