お問い合わせ
OpenSSLは、多くのWebサーバーやその他のインターネットアプリケーションで使用されている暗号化ライブラリで主に、主にWebサーバー、電子メールクライアント、その他のアプリケーションで広く使用されています。
しかしOpenSSLには、いくつかの脆弱性が確認されており、仮に脆弱性を放置していると重大なインシデントに巻き込まれる恐れがあります。
この記事では、OpenSSL の脆弱性について使用されるとどうなるのか、脆弱性を防ぐ方法やインシデント調査の具体的な手順についてご紹介します。
目次
OpenSSLの脆弱性とは
OpenSSLには、いくつかの脆弱性が存在します。たとえば2014年1月には、Heartbleed(CVE-2014-0160)という脆弱性が発見されました。
これはWebサーバーから機密情報を盗むことができる脆弱性で、OpenSSLの脆弱性のあるコードによって異なります。
これ以降もOpenSSLには、いくつかの脆弱性が発見されており、いずれもデータ侵害、不正アクセスなど情報採取において悪用されてきました。
新たに発見されたOpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)とは
2022年11月1日、OpenSSLプロジェクトは、OpenSSLに潜む新たな脆弱性(CVE-2022-3602、CVE-2022-3786)を2つ公開しました。
これらは、X.509(証明書メールやVPNで使用されるデジタル証明書)の検証処理「バッファオーバーフロー」が発生する脆弱性です。
バッファオーバーフローとは何か
バッファオーバーフローとは、コンピュータプログラムがメモリの「バッファ(データを一時的に格納する領域)」にデータを書き込むとき、バッファよりも多くのデータを書き込むことで、バッファの上書きや不正なコードが実行可能になってしまうバグです。
もし脆弱性が悪用された場合、攻撃者が用意した悪意のある証明書により、4バイト(CVE-2022-3602)、あるいは任意のバイト数(CVE-2022-3786)のオーバーフローを発生させられ、サーバーをクラッシュさせられたり、任意のコードを実行させられたりする可能性があります。
OpenSSLの脆弱性一覧
OpenSSLには、前述したとおり、多くの脆弱性が存在します。
ここでは、最も一般的な脆弱性のいくつかを紹介します。
- バッファオーバーフロー
- クロスサイトリクエストフォージェリ(CSRF)
- クロスサイトスクリプティング(XSS)
- 中間者攻撃(MITM)
バッファオーバーフロー
これは、OpenSSL がメモリバッファにデータを書き込むときに、バッファよりも多くのデータを書き込み、バッファの上書きや不正なコードの実行につながるバグです。
クロスサイトリクエストフォージェリ(CSRF)
これは、ユーザーが意図せずに攻撃者の悪意のある Web サイトにリクエストを送信するように誘導する攻撃です。この攻撃により、攻撃者はユーザーのアカウントやデータにアクセスできる可能性があります。
クロスサイトスクリプティング(XSS)
これは、攻撃者がユーザーの Web ブラウザに悪意のあるスクリプトを挿入し、ユーザーをだまして個人情報を盗んだり、悪意のある Web サイトにリダイレクトしたりする攻撃です。
中間者攻撃(MITM)
これは、攻撃者がユーザーとサーバーの間の通信を傍受して、通信を読み取ったり改ざんしたりする攻撃です。
脆弱性が悪用された場合はどうすべきか?
これらの脆弱性は、攻撃者がユーザーのアカウントやデータにアクセスしたり、Web サイトを改ざんしたりするために使用できます。すべての OpenSSL ユーザーは、最新のセキュリティパッチをインストールして、これらの脆弱性から機器を保護する必要があります。
また脆弱性が悪用された場合、被害調査を行うことは、個人情報保護法の観点から必要不可欠です。個人情報保護法においては「事業者は、個人情報を適切に管理し、漏えいや不正アクセスなどの被害から保護する義務」を負っています。
そのため、脆弱性が悪用され、データ漏えいが疑われる場合は、漏えいした個人情報の範囲を特定し、被害を最小限に抑える必要があります。また、脆弱性の原因を調査し、再発を防止するための対策を講じる必要があります。
この際、有効なのがフォレンジック調査です。フォレンジック調査とは、コンピューターから証拠を収集・分析し、インシデントの詳細を解明する手法です。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された経路や漏えいデータを迅速に特定します。
24時間365日体制で相談や状況のヒアリング、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
\サイバーセキュリティの専門家に今すぐ無料相談できる/
OpenSSLの脆弱性を悪用されるとどうなるのか
OpenSSLの脆弱性が悪用されると、攻撃者がサービス拒否攻撃(DoS)を実行されたり、遠隔からコードを実行されたりする恐れがあります。
サービス拒否攻撃(DoS)を受ける
これはWebサイトやアプリケーションを利用できなくさせる攻撃です。これによって攻撃者は、サーバーを過負荷状態にし、応答不能にすることができます。つまり、この被害に遭うと、Webサイトやアプリケーションが長時間利用できなくなる可能性があります。
大規模なECサイトだとダウンタイムの間、顧客やユーザーを失い、収益に影響を与える可能性があります。
遠隔コード実行(RCE)を受ける
遠隔からのコード実行(RCE)は、攻撃者がサーバーに悪意のあるコードを実行させる攻撃です。攻撃者は脆弱性を悪用して、サーバーに任意のコードを実行させることができます。
遠隔コード実行(RCE)に遭うとどうなるか
遠隔からのコード実行(RCE)の被害に遭うと、次の被害を受ける可能性があります。
- データの盗難:システム内のデータに不正アクセス、データを盗まれる恐れ
- システムの乗っ取り:システムを乗っ取り、悪意のある目的で使用される恐れ
- ランサムウェアの配布:システムにランサムウェアをインストールして、ファイルやデータを暗号化し、身代金を要求する恐れ
- その他の悪意のある活動:スパムやフィッシングメールの送信、DDoS攻撃の実行、その他のサイバー攻撃の実行の恐れ
遠隔からのコード実行(RCE)は、非常に深刻な脅威であり、企業は対策を講じることが重要です。また、早期に感染経路を把握し、迅速な対応をすることで、他のシステムやデータへの被害を最小限に抑えることができます。
\法人様は現地駆けつけ対応も可能/
OpenSSLの脆弱性を防ぐ方法
OpenSSLの脆弱性を防ぐ方法は下記のとおりです。
- 最新のセキュリティパッチを適用する
- ファイアウォールを有効にする
- アンチウイルスソフトをインストールし、最新の状態に保つ
- フィッシングメールに注意する
- 不正なWebサイトにアクセスしない
- パスワードを強固なものにし、使い回さない
最新のセキュリティパッチを適用する
OpenSSLの開発者は、定期的にセキュリティパッチをリリースしています。これらのパッチには、脆弱性を修正する修正が含まれています。
OpenSSLのWeb サイトを確認し、最新のOpenSSL バージョンとセキュリティパッチがインストールされていることを確認してください。
OpenSSL の Web サイトを確認するには、ブラウザで「https://www.openssl.org/」にアクセスしてください。利用可能な更新がある場合は、Webサイトの指示に従ってインストールできます。
ファイアウォールを有効にする
ファイアウォールは、不正なトラフィックをブロックするのに役立ちます。ファイアウォールを有効にして、すべてのポートが開いていないことを確認してください。
ファイアウォールを有効にして、すべてのポートが開いていないことを確認する一般的な手順は以下の通りです。
ファイアウォールの設定を確認
使用しているファイアウォールの管理インターフェースにアクセスし、設定を確認します。これにはWebベースの管理インターフェース、コマンドラインインターフェース、または専用の管理ソフトウェアなどが含まれます。
ポートの開放状況を確認
ファイアウォールの設定で、特定のポートが開かれていないことを確認します。一般的に、特定のポートを開くためにはポート番号とプロトコル(TCPまたはUDP)を指定する必要があります。通常、ファイアウォールの設定で特定のポートが開かれている場合、そのポートへのアクセスが許可されます。
デフォルトポリシーを確認
ファイアウォールのデフォルトポリシーを確認します。通常、デフォルトポリシーは「拒否」に設定されており、すべてのポートへのアクセスが制限されています。
ポートスキャンを実行
ポートスキャナーと呼ばれるツールを使用して、ファイアウォールがオープンしているポートをスキャンします。ファイアウォールが正常に機能している場合、スキャン結果には開かれているポートは表示されません。
ファイアウォールのログを確認
ファイアウォールがログを取得している場合、ログを確認して不正な接続試行や拒否されたトラフィックをチェックします。これにより、不正なアクセス試行やファイアウォールの動作状況を把握することができます。
アンチウイルスソフトをインストールし、最新の状態に保つ
アンチウイルスソフトウェアは、悪意のあるソフトウェアを検出してブロックするのに役立ちます。アンチウイルスソフトウェアをインストールして、最新の状態に保ってください。
フィッシングメールに注意する
フィッシングメールの多くは金銭詐取や不正アクセスを目的としており、不正に侵入されると脆弱性を悪用されるリスクがあります。特にメールに記載されているリンクや添付ファイルを開かないでください。フィッシングメールに記載されているリンクや添付ファイルを開くと、悪意のあるソフトウェアをダウンロードされる恐れがあります。
なお、メールの件名が緊急性や重要性を強調している場合は、注意してください。フィッシングメールの件名は、ユーザーの注意を引くように設計されていることがよくあります。
フィッシングメールに個人情報を入力した場合、その情報は悪意のある者に盗まれ、アカウントの乗っ取り、クレジットカードの不正使用、その他の犯罪に使用される可能性があります。この際、被害状況を適切に調査することで、個人情報を保護し、被害を最小限に抑えることができます。
フィッシングメールを用いるサポート詐欺については下記の記事で解説しています。
不正なWebサイトにアクセスしない
不正な Web サイトは、悪意のあるソフトウェアをダウンロードしたり、個人情報を盗んだりするのに使用できます。不正なWeb サイトにアクセスしないでください。
パスワードを強固なものにし、使い回さない
パスワードは強力で、他のWeb サイトやサービスでは使用しないようにしてください。パスワードを再利用すると、1つの Web サイトまたはサービスのアカウントが侵害された場合に、他のすべてのアカウントも侵害される可能性があるためです。
強力なパスワードの例として「8文字以上」「大文字と小文字を組み合わせる」「数字や特殊文字を含める」といったものがあります。
OpenSSLの脆弱性を悪用された場合に行うべきこと
OpenSSLの脆弱性を悪用された場合に行うべきことは次のとおりです。
- システムを隔離する
- システムをバックアップから復元する
- システムをスキャンしてマルウェアを検出する
- 被害原因を調査し、攻撃者がどのように侵入したかを理解する
システムを隔離する
攻撃が発生したシステムを隔離することで、攻撃の拡大や他のシステムへの影響を最小限に抑えることができます。攻撃が検知された場合、被害を広げないように攻撃対象となったシステムをネットワークから切断し、他のシステムとの接触を遮断しておきましょう。
システムをバックアップから復元する
攻撃が発生したシステムをバックアップから復元することで、攻撃によって破壊されたものや改ざんされたものを元の状態に戻すことができます。この際、定期的かつ信頼性の高いバックアップを作成しておくことが重要です。またバックアップからの復元手順を適切に実施し、攻撃の影響を最小限に抑えましょう。
ただし、バックアップから復元しただけでは、データ侵害の状況は不明瞭のため、データ漏えいの調査は別個に行うようにしましょう。
システムをスキャンしてマルウェアを検出する
攻撃によってマルウェアが侵入している可能性があるため、システムをスキャンしてマルウェアを検出することが重要です。信頼できるセキュリティソフトウェアやマルウェア対策ツールを使用し、システム全体や重要なファイルをスキャンして不正なプログラムやファイルを特定します。発見したマルウェアを駆除するための適切な対策を講じましょう。
被害原因を調査し、攻撃者がどのように侵入したかを理解する
攻撃の原因となった脆弱性や侵入経路を明らかにするため、企業や組織は徹底的な調査を行いましょう。
この際、ログの分析や「フォレンジック調査」(コンピューターやその他のデジタルデバイスから証拠を収集、分析、保存するプロセス)を用いて攻撃の痕跡を追跡し、攻撃者がどのように侵入したかを特定します。これにより、同様の攻撃を未来で防ぐための対策やセキュリティ強化を行うことができます。
不正アクセスによる企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしOpenSSLによる脆弱性でサイバー攻撃を受けた場合、まず感染経路や漏えいしたデータを確認することが重要です。
しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
脆弱性によるサイバー攻撃被害は専門業者に相談する
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
