4月の初めに突然OpenSSLの脆弱性「Heartbleed」問題が発覚、世の中を騒がせています。
OpenSSLの拡張機能の一つ、Heartbeatに脆弱性が存在し、第三者がネットワークを介して悪意のあるパケットを送付することで、システムのメモリ内のデータが閲覧可能になり、秘密キーや暗号化された通信内容などの重要な情報が漏えいする可能性があります。
そんな中、当社がお客さまに提案するサイバーセキュリティソリューションの中核をなす「Palo alto Networks　次世代ファイアウォール」は、いち早く「Heartbleed」脆弱性問題に対処、4月9日には最初のシグネチャの配信を開始しました。
今回、そのパロアルトネットワークス社のシニアSEマネージャーである三輪　賢一氏に、緊急インタビューを行いました。

【取材日　2014年4月25日（金）】

PART-2－パロアルトネットワークス社の対応

Question1パロアルトネットワークス社はいち早くこの脆弱性に対処し、シグネチャを作成、4月9日に配信を開始しています。では、パロアルトネットワークスの製品をファイアウォールとして利用しているお客さま環境においては、たとえアプリケーションで該当のOpenSSLのバージョンを使用していたとしても、Heartbleed脆弱性の影響はないと考えていいのでしょうか。

シグネチャを適用いただいていれば、今回発表された脆弱性に関しては安全です。
ただし、このシグネチャを回避するような攻撃が開発された場合には、更なるシグネチャの開発と適用が必要です。リソース等の問題でサーバへの対応ができない等、短期的なソリューションとしてこれらのシグネチャを使えますが、恒久的に安全性を確保するにはサーバに脆弱性のパッチを適用する必要があります。

Question2すでに複数のシグネチャをリリースされていますが、それぞれどういったものでしょうか。それらの違いを教えてください。

4つのシグネチャを作成・配信しています。

• 1つ目 (シグネチャID 36416) は、情報漏えいの可能性を検出するシグネチャで、重要度はクリティカルです。発見した場合にはサーバ側にTCP Resetを送信することでブロックします。
• 2つ目 (シグネチャID 36417) は、OpenSSLのHeartbeatが送られて来た場合にアラートを上げます。通常のHeartbeatも検知しますが、あまりに多い場合は集中攻撃を受けているとみなせます。
• 3つ目 (シグネチャID 36418) は、単発攻撃に対応したもので、あやしい長さのHeartbeatサーバレスポンスが返された場合にアラートを上げます。
• 4つ目 (シグネチャID 40039) は、Heartbeatを使ったブルートフォース攻撃を検出し、アラートを上げます。検出するHeartbeatリクエストの数は設定変更可能です。

シグネチャの更新は、デバイスの設定により自動または手動でダウンロードおよび更新が行われますので、最新のシグネチャがインストールされていることを確認してください。

Question3今後のこの脆弱性問題の動向をどう予測されますか。

先ほども述べましたが、今回の脆弱性の問題は、痕跡が残りません。
例えばパスワードが漏えいした場合であれば、サーバにパッチを適用後、パスワードを変更すれば問題は解決したと言えます。また秘密鍵の漏えいの可能性を考慮し、サーバ証明書を無効化し、再発行しておけば、秘密鍵が漏えいしていたとしてもその鍵を使って盗聴することはできません。しかし、それ以外の情報が漏えいしていた場合には、漏えいした情報を特定できなければ、それ以上どういう対応を取ればいいのかは現段階では分からないのが現実です。
重要なのは、問題が発覚してから対策をとるまでを如何に迅速に対応するかではないでしょうか。日本ではカード会社での被害が報告されていますが、この脆弱性の問題が公になってから、対策をとるまでの間を狙われて被害にあったということでした。カナダの歳入庁のサイトから大量の社会保障番号が削除された件も同様のグレーゾーンに起きています。日頃どのようなセキュリティ対策をとっていくかを明確にしておくことも重要だと思います。

PART-2、PART-3はこちら

「OpenSSL-Heartbleed脆弱性問題・PART-1 - Hearbleed脆弱性問題-影響と対策」へ

「OpenSSL-Heartbleed脆弱性問題・PART-3－パロアルトネットワーク社の取り組み、今後の予定」へ

【コラム – OpenSSL】

■SSLって何？

SSLとはSecure Socket Layerのこと、インターネットでデータを送受信する際、通信を暗号化するプロトコル（通信手段）です。OpenSSLはOpenSSL Projectによって管理・運営されている、インターネットなどのTCP/IPネットワークでの汎用的な暗号化のプロトコルです。そのソースコードは一般に公開されています。（Open Source）

■OpenSSL Projectって？

善意のボランティアによって運営されているプロジェクトです。またその資金も寄付によって賄われています。