このページの先頭です
ここから本文です
  1. HOME
  2. EVENT・INFO
  3. メルマガ一覧
  4. OpenSSLのハートブリード脆弱性につ

イベント・情報

メルマガバックナンバー KDL NOW!

メルマガの配信登録をする

OpenSSLのハートブリード脆弱性について知っておくべきこと



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ KDL NOW! ■                     2014.5.1号

       KDL(神戸デジタル・ラボ)からの最新情報♪

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 清々しい五月晴れに鯉のぼりが悠々と舞う快い季節となりましたが、
 皆さまはいかがお過ごしでしょうか?

 KDLには今年も新卒社員が入社し、社内に新しい風が吹いています。
 新入社員ともども、今後ともどうぞよろしくお願いいたします。

 それでは、5月のメルマガをご覧ください。

INDEX ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】セキュリティコラム
   「OpenSSLのハートブリード脆弱性について知っておくべきこと」
【2】KDLセミナー情報「戦略的経営のススメ」(大阪 2014.06.05)
【3】PDCAサイクルを円滑に回す「Webサイト最適化支援サービス」
【4】スマホ・タブレット端末アプリの開発事例をご紹介
【5】ピックアップ「神戸経済新聞」(2014.04.01~04.30)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┏━♪
┃1┃ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
┗━┛セキュリティコラム
   「OpenSSLのハートブリード脆弱性について知っておくべきこと」
──────────────────────────────────

 巷をにぎわせているOpenSSLのハートビート機能に見つかった
 脆弱性「ハートブリード」について、GIAC資格者であり、
 ホワイトハッカーとしてKDLの情報セキュリティサービス
 「Proactive Defense」を支えるマシス・ザッカリーよりお知らせします。

 ----------------------------------

 ウェブサイトの通信を暗号化するSSL。最近よく使われているオープン
 ソースソフトOpenSSLに重大な脆弱性が発見されました。世界中の
 マスコミ、トーク・バラエティ番組にまで取り上げられ大きな話題に
 なりましたが、その中で幾つか誤解が生じているように感じます。
 ここで詳細を解説したいと思います。

 まず、どのような脆弱性だったのかを説明します。

 SSLにはハートビートという機能があり、SSLのセッションが死なない
 ようにクライアントがサーバに何かの文字列を送ると、サーバが同じ
 文字列を返してくれます。(ネットワークツールのPINGをご存知の
 方はそちらをイメージしていただくと分かりやすいと思います)
 しかし、クライアントが送るデータは単純な文字列だけではなく、
 また、その文字列の長さもクライアントが指定します。例えば、
 クライアントがサーバに「ハロー」という3文字を送る場合は普段
 「文字列の長さ=3」という風にサーバにお知らせしますが、
 例えば長さが「500」だと指定したら、サーバが誤って500文字
 (500バイトのデータ)を返します。最初の3文字が「ハロー」に
 なっていますが、残りの497バイトはメモリ上にあるランダムな
 データです。そのランダムなデータは推測できませんが、ユーザの
 ログイン・パスワード等の機密情報が入っている危険性があります。
 この攻撃をし続けると、いつまでもウェブサーバの機密情報を
 盗むことができるのです。

-被害はどれぐらい?

 確かにOpenSSLは多く使用されているソフトウェアのライブラリで、
 SSLに対応しているウェブサーバの中では3分の2以上が使用している
 と言われています。今回の脆弱性はハートビートという機能を悪用した
 ものですが、その機能を実際に有効にしていたサーバは全体の約17%
 でした。セキュリティ研究者がIPv4のインターネットの全IPアドレスを
 スキャンしたところ、約2860万台がSSLサーバで、その2%しか実際に
 脆弱性を持っていませんでした。しかし、2%と言っても約60万台が
 脆弱で、その中でyahoo.com、flickr.com、stackexchange.com等の
 有名なサイトがありました。
 weathernews.jpやnanapi.jp以外に日本のウェブサイトにはほとんど影響が
 ありませんでしたが、脆弱なソフトを使っていなかったからではなく、
 そもそも暗号化していないだけで脆弱ではなかったのです。SSLを
 使わないと、高度な攻撃でクラッキングしなくても簡単に盗聴・改ざん
 できるのでそちらの方が危険です。

 また、現在ハートブリードを悪用して情報を盗み出された事件が海外で
 話題になっています。カナダ人納税者900人のデータが19歳の学生に
 盗まれ、逮捕されました。
 日本でも大手カード会社「三菱UFJニコス」のホームページから894人分の
 個人情報が外部に流出されるなどの事件が起こっています。

 カナダの事件:
 http://wired.jp/2014/04/17/heartbleed-hacker-arrested-charged-in-connection-to-malicious-bug-exploit/

 三菱UFJニコスの事件:
 http://www3.nhk.or.jp/news/html/20140419/k10013867171000.html

-なんでこんなに話題になった?

 実は以前にもっと危険な脆弱性が沢山発見されています。なぜ今回こんなに
 話題になったかというと2つの原因があると思います。
 まずはとても単純な理由ですが、単にネーミングが良いので余計に話題に
 なったと思われている人が多いです。ハートビートは心臓の鼓動という意味で、
 今回はデータが漏えいしているので、「心臓出血」のイメージで
 ハートブリードという名前になったようです。正式には覚え難くてピンと
 来ない「CVE-2014-0160」という脆弱性ですので、ハートブリードという
 ネーミングにしなかったら、恐らくこんなに話題にならなかったでしょう。
 例えばクラウドサービスも一緒で、昔からクラウドサービスはありましたが、
 「クラウド」という新しいネーミングにしてから急に流行りました。
 もう一つの理由は最近ハッキングや情報漏えいの事件やサイバー戦争が
 マスコミに流れるようになって、一般の人でも意識が高まってきたので
 話題になったと考えられます。

-NSAがこの脆弱性を2年前から知っていた?

 NSA(アメリカ国家安全保障局)が2年前から知っていたという噂が
 ありますが、証拠はありません。正式に否定していますが、サイバー戦争の
 ために数千人以上のセキュリティエキスパートを雇って毎日OpenSSL等の
 ソフトの脆弱性を探しているので、前から知っていてもおかしくは
 ありません。NSAが知らなくても、他の国の政府もこういう脆弱性を
 毎日探しているので誰かが先に発見している可能性は十分あります。

-サーバの秘密鍵も漏えいされるのは本当?

 有名なセキュリティ専門家でも「これは有り得ない」と主張するほどで、
 こちらもとても話題になりました。ある会社が「秘密鍵を盗んでみろ!」
 というコンテストを行い、最終的に2人が秘密鍵を盗むことに成功
 しました。そのうちの1人が2,500,000以上のリクエストを、もう1人は
 約100,000リクエストを送ったそうです。ということは、サーバを正しく
 監視していたら、この攻撃に気付くはずだったのです。
 世界に実際に秘密鍵を盗める人はとても少ないとはいえ、この脆弱性は
 2年前から存在し、その間に盗まれたかどうか証明できることはほとんど
 ありません。もしその期間に脆弱なOpenSSLを使用していたのであれば、
 新しいSSL証明書を発行した方が安全だと考えられています。
 また、新しい証明書を再発行するだけではなくて、秘密鍵が漏えいした
 可能性のある古い証明書が使用されないように失効処理を行なわなくては
 いけません。

-一般ユーザもパスワードを変えないといけない?

 サーバの秘密鍵と一緒で実際にパスワードが盗まれた事は非常に少ない
 でしょう。ただ、脆弱性情報が公開される前はFacebookが脆弱だった
 ようです。もし悪意のあるハッカーがこれを悪用していたらパスワードを
 手に入れた可能性があり、Facebookはパスワードの変更をすすめています。
 Instagram、Pinterest、Tumblr、Google、Yahoo!も同じように実際に
 漏えいされたことは非常に少ないですが、念のためにパスワードを変更した
 方が安全です。また、ハートブリードのような未知の脆弱性も存在する
 可能性があるため、いつの間にパスワードが漏えいされていたとしても
 定期的にパスワードを変更することで、ある程度対策することができるのです。

 関連情報URL:
 http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
 https://github.com/musalbas/heartbleed-masstest/tree/master/scans
 http://blog.erratasec.com/2014/04/600000-servers-vulnerable-to-heartbleed.html
 http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed
 http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html

┏━♪
┃2┃ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
┗━┛KDLセミナー情報「戦略的経営のススメ」(大阪 2014.06.05)
───────────────────────────────────

 「売れる」Webサイトにはコツがあるのです!
 Webサイトで「なかなか集客できない」「モノが売れない」などの
 お悩みはございませんか?

 サイトの集客力や売上を向上するためには、現状分析とサイト更新などの
 改善作業が欠かせません。アクセス解析ツールの代表格である
 「Googleアナリティクス」を用いた現状分析の基礎知識から、Webサイトの
 更新作業を簡単に行うノウハウまで、基本を丁寧に説明いたします。

 何から始めるべきか分からない方、まずは当セミナーでWebサイト運用の
 いろはを修得しましょう。

 内 容:【第一部】講演企業:株式会社 東亜経営総研
     「強い事業にするために」
      ~事業戦略とは何を決めることなのでしょうか~

     【第二部】講演者:KDL Webコンサルタント 那須智
      事業の成果に貢献させるWebサイトアクセス解析 至上の入門編

     【第三部】講演者:KDL Webディレクター 沖卓弥
      ここだけは抑えておきたい!Webサイト更新・改善のアイデア
      ~ノンデザイナーでも今日からできるWebデザインテクニック~

 対 象:◇中小企業の経営者様
     ◇業績アップのためにWebサイトを活用したい方
     ◇Webサイト運用の責任者様、ご担当者様
 日 時:6月5日(木)14:00~16:00(13:30より受付開始)
 会 場:大阪産業創造館 6F 会議室B
      http://www.sansokan.jp/map/
 定 員:先着40名
 参加費:有料(2,000円)
      ※お支払いは当日会場で承ります。
       領収書を発行いたします。

 ◎セミナーの詳細・お申し込みはこちら
  →http://www.kdl.co.jp/seminar/%E6%88%A6%E7%95%A5%E7%9A%84%E7%B5%8C%E5%96%B6%E3%81%AE%E3%82%B9%E3%82%B9%E3%83%A1/

┏━♪
┃3┃ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
┗━┛WebサイトのPDCAサイクルを円滑に回すための支援サービス
   「Webサイト最適化支援」のご紹介
───────────────────────────────────

 Webサイトの成果をあげるためには、PDCAサイクルをスピーディーに
 回すことが必要不可欠ですが、実際にはさまざまな問題によって
 サイクルの回転が阻害され、うまくいっていないことが多々あります。

 KDLでは、これらの問題点をクリアするために、アクセス分析による
 評価と改善提案を中心に、PDCAサイクルの各フェーズに対して支援を行い、
 成果の上がるWebサイト運用のお手伝いをさせていただきます。

 ◎「Webサイト最適化支援サービス」の詳細はこちら
  →http://www.kdl.co.jp/service/website-optimization-support/

 Googleアナリティクス初期設定や運用支援についても各種サービスを
 取りそろえておりますので、ぜひご検討ください。

 ◎GAの設定確認・再設定、関連ツールとのリンク設定の確認・再設定
 「Google アナリティクス初期設定サービス」
  →http://www.kdl.co.jp/service/website-optimization-support/google-analytics-initial-setting/

 ◎成果の上がるWebサイト運用支援(社内での運用を前提)
  「Webの学校サービス」
  →http://www.kdl.co.jp/service/website-optimization-support/web-school/

 ◎成果の上がるWebサイト運用支援(運用支援の外注を前提)
  「Webサイト分析・改善提案サービス」
  →http://www.kdl.co.jp/service/website-optimization-support/web-consulting/

┏━♪
┃4┃ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
┗━┛スマホ・タブレット端末アプリの開発事例をご紹介
───────────────────────────────────

 KDLでは、WEBサイト構築や業務系システムの開発で培った
 ノウハウを活かして、各種スマートフォン・タブレット端末の
 アプリを専任チームが開発しています。
 
 この度、洋菓子製造販売業者様、大手アパレル企業様の
 開発事例をサイトへ掲載いたしましたので、ご紹介します。

 ◎「デパ地下食品店向け MD支援システム」開発事例
  →http://www.kdl.co.jp/works/%E3%83%87%E3%83%91%E5%9C%B0%E4%B8%8B%E9%A3%9F%E5%93%81%E5%BA%97%E5%90%91%E3%81%91md%E6%94%AF%E6%8F%B4%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0/

 ◎「RFID連携システム」開発事例
  →http://www.kdl.co.jp/works/rfid%E9%80%A3%E6%90%BA%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0/

┏━♪
┃5┃ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
┗━┛ピックアップ「神戸経済新聞」(2014.04.01~04.30)
───────────────────────────────────

 「神戸経済新聞」は、神戸デジタル・ラボが運営する
 神戸市中央区の街ネタを配信するニュースサイトです!

・特集[インタビュー](2014.04.14)
 「地元の人に愛され続ける施設に」
 -神戸アンパンマンこどもミュージアム&モール館長の宮本洋さんに聞く
 http://kobe.keizai.biz/column/23/

・2014.04.14
 兵庫県立美術館で「夢見るフランス絵画」展-仏近代絵画71点展示
 http://kobe.keizai.biz/headline/1701/

・2014.04.16
 神戸の「農業高校レストラン」が1周年-卒業生が出店、学生共作レシピも
 http://kobe.keizai.biz/headline/1703/

 ◎神戸経済新聞のFacebookアカウントもぜひチェックしてください!
  https://www.facebook.com/kobekeizai?ref=hl

 ※この件についてのお問合わせは、こちら ⇒ info@kobe.keizai.biz

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※このメールは、過去に当社社員がお名刺交換をさせていただき、
 社員が個別にご連絡を取らせていただいていた皆様に対して、
 より深く、充実した情報を等しくご提供するためにお送りしております。

※本コラムのコンテンツは、KDL独自の見解を含むものもございます。

※個人情報の取扱いに関しましては、当社規定のプライバシーポリシーのもと、
 個人情報の保護に努めながら、運営してまいります。
 プライバシーポリシーの詳細は、下記にてご確認ください。
 → http://www.kdl.co.jp/policy/
 
※大変恐縮ですが今後、当メールの配信を希望されない場合
 下記URLより配信停止の手続きをお願いいたします。
 → https://reg34.smp.ne.jp/regist/is?SMPFORM=mamd-pgofo-38b9a9d16ff65cccdb7a116bdaf71a97

 また、当メール配信先アドレスの追加や変更を希望される方は、
 下記URLより変更手続きを行ってください。
※新規追加→https://reg34.smp.ne.jp/regist/is?SMPFORM=mamd-pgpct-2c8a8e9d07ba9dee2df19a694e8a613d
 ※登録変更→https://reg34.smp.ne.jp/regist/is?SMPFORM=mamd-pgofn-ba3f65def5025205db4c514241800982

 ※株式会社神戸デジタル・ラボは株式会社パイプドビッツのメール配信
  サービス(新規登録・変更フォームなどを含む)を利用しております。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
発 行 元 :株式会社神戸デジタル・ラボ(KDL)
発 行 日:2014年5月1日(木)
U R L :http://www.kdl.co.jp/mailmagazine/
お問合わせ:info@kdl.co.jp
神戸本社 :神戸市中央区江戸町93番 栄光ビル
東京支社 :東京都渋谷区恵比寿南1-5-5 JR恵比寿ビル11F
編集・発行:「KDL NOW!」編集事務局
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(c) 2014 Kobe Digital Labo,Inc. All Rights Reserved.

本メルマガは著作権により保護されていますが、
皆様のお役に立てるのであれば、商用の場合を除き、
ご自由に転送・転載いただいて構いません。
その際は最下部のクレジット部分(発行元やURL、メールアドレス、
住所等が書かれた部分)を明記願います。

ページの先頭に戻る