OpenSSLは、多くのWebサーバーやその他のインターネットアプリケーションで使用されている暗号化ライブラリで主に、主にWebサーバー、電子メールクライアント、その他のアプリケーションで広く使用されています。
しかしOpenSSLには、いくつかの脆弱性が確認されており、仮に脆弱性を放置していると重大なインシデントに巻き込まれる恐れがあります。
この記事では、OpenSSL の脆弱性について使用されるとどうなるのか、脆弱性を防ぐ方法やインシデント調査の具体的な手順についてご紹介します。
目次
OpenSSLの脆弱性とは
OpenSSLには、いくつかの脆弱性が存在します。たとえば2014年1月には、Heartbleed(CVE-2014-0160)という脆弱性が発見されました。
これはWebサーバーから機密情報を盗むことができる脆弱性で、OpenSSLの脆弱性のあるコードによって異なります。
これ以降もOpenSSLには、いくつかの脆弱性が発見されており、いずれもデータ侵害、不正アクセスなど情報採取において悪用されてきました。
新たに発見されたOpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)とは
2022年11月1日、OpenSSLプロジェクトは、OpenSSLに潜む新たな脆弱性(CVE-2022-3602、CVE-2022-3786)を2つ公開しました。
これらは、X.509(証明書メールやVPNで使用されるデジタル証明書)の検証処理「バッファオーバーフロー」が発生する脆弱性です。
バッファオーバーフローとは何か
バッファオーバーフローとは、コンピュータプログラムがメモリの「バッファ(データを一時的に格納する領域)」にデータを書き込むとき、バッファよりも多くのデータを書き込むことで、バッファの上書きや不正なコードが実行可能になってしまうバグです。
もし脆弱性が悪用された場合、攻撃者が用意した悪意のある証明書により、4バイト(CVE-2022-3602)、あるいは任意のバイト数(CVE-2022-3786)のオーバーフローを発生させられ、サーバーをクラッシュさせられたり、任意のコードを実行させられたりする可能性があります。
OpenSSLの脆弱性一覧
OpenSSLには、前述したとおり、多くの脆弱性が存在します。
ここでは、最も一般的な脆弱性のいくつかを紹介します。
- バッファオーバーフロー
- クロスサイトリクエストフォージェリ(CSRF)
- クロスサイトスクリプティング(XSS)
- 中間者攻撃(MITM)
バッファオーバーフロー
これは、OpenSSL がメモリバッファにデータを書き込むときに、バッファよりも多くのデータを書き込み、バッファの上書きや不正なコードの実行につながるバグです。
クロスサイトリクエストフォージェリ(CSRF)
これは、ユーザーが意図せずに攻撃者の悪意のある Web サイトにリクエストを送信するように誘導する攻撃です。この攻撃により、攻撃者はユーザーのアカウントやデータにアクセスできる可能性があります。
クロスサイトスクリプティング(XSS)
これは、攻撃者がユーザーの Web ブラウザに悪意のあるスクリプトを挿入し、ユーザーをだまして個人情報を盗んだり、悪意のある Web サイトにリダイレクトしたりする攻撃です。
中間者攻撃(MITM)
これは、攻撃者がユーザーとサーバーの間の通信を傍受して、通信を読み取ったり改ざんしたりする攻撃です。
脆弱性が悪用された場合はどうすべきか?
これらの脆弱性は、攻撃者がユーザーのアカウントやデータにアクセスしたり、Web サイトを改ざんしたりするために使用できます。すべての OpenSSL ユーザーは、最新のセキュリティパッチをインストールして、これらの脆弱性から機器を保護する必要があります。
また脆弱性が悪用された場合、被害調査を行うことは、個人情報保護法の観点から必要不可欠です。個人情報保護法においては「事業者は、個人情報を適切に管理し、漏えいや不正アクセスなどの被害から保護する義務」を負っています。
そのため、脆弱性が悪用され、データ漏えいが疑われる場合は、漏えいした個人情報の範囲を特定し、被害を最小限に抑える必要があります。また、脆弱性の原因を調査し、再発を防止するための対策を講じる必要があります。
この際、有効なのがフォレンジック調査です。フォレンジック調査とは、コンピューターから証拠を収集・分析し、インシデントの詳細を解明する手法です。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があり、攻撃に使用された経路や漏えいデータを迅速に特定します。
24時間365日体制で相談や状況のヒアリング、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
\サイバーセキュリティの専門家に今すぐ無料相談できる/
OpenSSLの脆弱性を悪用されるとどうなるのか
OpenSSLの脆弱性が悪用されると、攻撃者がサービス拒否攻撃(DoS)を実行されたり、遠隔からコードを実行されたりする恐れがあります。
サービス拒否攻撃(DoS)を受ける
これはWebサイトやアプリケーションを利用できなくさせる攻撃です。これによって攻撃者は、サーバーを過負荷状態にし、応答不能にすることができます。つまり、この被害に遭うと、Webサイトやアプリケーションが長時間利用できなくなる可能性があります。
大規模なECサイトだとダウンタイムの間、顧客やユーザーを失い、収益に影響を与える可能性があります。
遠隔コード実行(RCE)を受ける
遠隔からのコード実行(RCE)は、攻撃者がサーバーに悪意のあるコードを実行させる攻撃です。攻撃者は脆弱性を悪用して、サーバーに任意のコードを実行させることができます。
遠隔コード実行(RCE)に遭うとどうなるか
遠隔からのコード実行(RCE)の被害に遭うと、次の被害を受ける可能性があります。
- データの盗難:システム内のデータに不正アクセス、データを盗まれる恐れ
- システムの乗っ取り:システムを乗っ取り、悪意のある目的で使用される恐れ
- ランサムウェアの配布:システムにランサムウェアをインストールして、ファイルやデータを暗号化し、身代金を要求する恐れ
- その他の悪意のある活動:スパムやフィッシングメールの送信、DDoS攻撃の実行、その他のサイバー攻撃の実行の恐れ
遠隔からのコード実行(RCE)は、非常に深刻な脅威であり、企業は対策を講じることが重要です。また、早期に感染経路を把握し、迅速な対応をすることで、他のシステムやデータへの被害を最小限に抑えることができます。
\法人様は現地駆けつけ対応も可能/
OpenSSLの脆弱性を防ぐ方法
OpenSSLの脆弱性を防ぐ方法は下記のとおりです。
- 最新のセキュリティパッチを適用する
- ファイアウォールを有効にする
- アンチウイルスソフトをインストールし、最新の状態に保つ
- フィッシングメールに注意する
- 不正なWebサイトにアクセスしない
- パスワードを強固なものにし、使い回さない
最新のセキュリティパッチを適用する
OpenSSLの開発者は、定期的にセキュリティパッチをリリースしています。これらのパッチには、脆弱性を修正する修正が含まれています。
OpenSSLのWeb サイトを確認し、最新のOpenSSL バージョンとセキュリティパッチがインストールされていることを確認してください。
OpenSSL の Web サイトを確認するには、ブラウザで「https://www.openssl.org/」にアクセスしてください。利用可能な更新がある場合は、Webサイトの指示に従ってインストールできます。
ファイアウォールを有効にする
ファイアウォールは、不正なトラフィックをブロックするのに役立ちます。ファイアウォールを有効にして、すべてのポートが開いていないことを確認してください。
ファイアウォールを有効にして、すべてのポートが開いていないことを確認する一般的な手順は以下の通りです。
ファイアウォールの設定を確認
使用しているファイアウォールの管理インターフェースにアクセスし、設定を確認します。これにはWebベースの管理インターフェース、コマンドラインインターフェース、または専用の管理ソフトウェアなどが含まれます。
ポートの開放状況を確認
ファイアウォールの設定で、特定のポートが開かれていないことを確認します。一般的に、特定のポートを開くためにはポート番号とプロトコル(TCPまたはUDP)を指定する必要があります。通常、ファイアウォールの設定で特定のポートが開かれている場合、そのポートへのアクセスが許可されます。
デフォルトポリシーを確認
ファイアウォールのデフォルトポリシーを確認します。通常、デフォルトポリシーは「拒否」に設定されており、すべてのポートへのアクセスが制限されています。
ポートスキャンを実行
ポートスキャナーと呼ばれるツールを使用して、ファイアウォールがオープンしているポートをスキャンします。ファイアウォールが正常に機能している場合、スキャン結果には開かれているポートは表示されません。
ファイアウォールのログを確認
ファイアウォールがログを取得している場合、ログを確認して不正な接続試行や拒否されたトラフィックをチェックします。これにより、不正なアクセス試行やファイアウォールの動作状況を把握することができます。
アンチウイルスソフトをインストールし、最新の状態に保つ
アンチウイルスソフトウェアは、悪意のあるソフトウェアを検出してブロックするのに役立ちます。アンチウイルスソフトウェアをインストールして、最新の状態に保ってください。
フィッシングメールに注意する
フィッシングメールの多くは金銭詐取や不正アクセスを目的としており、不正に侵入されると脆弱性を悪用されるリスクがあります。特にメールに記載されているリンクや添付ファイルを開かないでください。フィッシングメールに記載されているリンクや添付ファイルを開くと、悪意のあるソフトウェアをダウンロードされる恐れがあります。
なお、メールの件名が緊急性や重要性を強調している場合は、注意してください。フィッシングメールの件名は、ユーザーの注意を引くように設計されていることがよくあります。
フィッシングメールに個人情報を入力した場合、その情報は悪意のある者に盗まれ、アカウントの乗っ取り、クレジットカードの不正使用、その他の犯罪に使用される可能性があります。この際、被害状況を適切に調査することで、個人情報を保護し、被害を最小限に抑えることができます。
フィッシングメールを用いるサポート詐欺については下記の記事で解説しています。
不正なWebサイトにアクセスしない
不正な Web サイトは、悪意のあるソフトウェアをダウンロードしたり、個人情報を盗んだりするのに使用できます。不正なWeb サイトにアクセスしないでください。
パスワードを強固なものにし、使い回さない
パスワードは強力で、他のWeb サイトやサービスでは使用しないようにしてください。パスワードを再利用すると、1つの Web サイトまたはサービスのアカウントが侵害された場合に、他のすべてのアカウントも侵害される可能性があるためです。
強力なパスワードの例として「8文字以上」「大文字と小文字を組み合わせる」「数字や特殊文字を含める」といったものがあります。
OpenSSLの脆弱性を悪用された場合に行うべきこと
OpenSSLの脆弱性を悪用された場合に行うべきことは次のとおりです。
- システムを隔離する
- システムをバックアップから復元する
- システムをスキャンしてマルウェアを検出する
- 被害原因を調査し、攻撃者がどのように侵入したかを理解する
システムを隔離する
攻撃が発生したシステムを隔離することで、攻撃の拡大や他のシステムへの影響を最小限に抑えることができます。攻撃が検知された場合、被害を広げないように攻撃対象となったシステムをネットワークから切断し、他のシステムとの接触を遮断しておきましょう。
システムをバックアップから復元する
攻撃が発生したシステムをバックアップから復元することで、攻撃によって破壊されたものや改ざんされたものを元の状態に戻すことができます。この際、定期的かつ信頼性の高いバックアップを作成しておくことが重要です。またバックアップからの復元手順を適切に実施し、攻撃の影響を最小限に抑えましょう。
ただし、バックアップから復元しただけでは、データ侵害の状況は不明瞭のため、データ漏えいの調査は別個に行うようにしましょう。
システムをスキャンしてマルウェアを検出する
攻撃によってマルウェアが侵入している可能性があるため、システムをスキャンしてマルウェアを検出することが重要です。信頼できるセキュリティソフトウェアやマルウェア対策ツールを使用し、システム全体や重要なファイルをスキャンして不正なプログラムやファイルを特定します。発見したマルウェアを駆除するための適切な対策を講じましょう。
被害原因を調査し、攻撃者がどのように侵入したかを理解する
攻撃の原因となった脆弱性や侵入経路を明らかにするため、企業や組織は徹底的な調査を行いましょう。
この際、ログの分析や「フォレンジック調査」(コンピューターやその他のデジタルデバイスから証拠を収集、分析、保存するプロセス)を用いて攻撃の痕跡を追跡し、攻撃者がどのように侵入したかを特定します。これにより、同様の攻撃を未来で防ぐための対策やセキュリティ強化を行うことができます。
不正アクセスによる企業の情報漏えいインシデント対応が義務化されています
2022年4月から改正個人情報保護法が施行されました
2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
もしOpenSSLによる脆弱性でサイバー攻撃を受けた場合、まず感染経路や漏えいしたデータを確認することが重要です。
しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
脆弱性によるサイバー攻撃被害は専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\法人様は現地駆けつけ対応も可能/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
多くのお客様にご利用いただいております
ハッキング・情報漏えい調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様最短30分でお打合せ可能です/
調査の料金・目安について
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。