OpenSSL脆弱性――あの緊急時にSSL証明書の世界的ブランド、シマンテックはどう動いたか：「Webをセキュアに」という社会的責任を果たすために

2014年4月に明らかになったOpenSSLの脆弱性は、日本のみならず海外でも大きく報じられた。単にソフトウェアをアップグレードするだけでは済まなかったこの問題に、どのように対処すればいいのか、とまどった企業も少なくないのではないだろうか。シマンテックは「SSL」の世界を構成する一員として、情報の整理と対策支援ツールの提供を通じて、この困難な脆弱性への対策を支援した。

[PR／＠IT]

　2014年4月、インターネットに激震が走った。オンラインショッピングやオンラインバンキングなどさまざまなWebサイトで通信の暗号化に使われている技術、「SSL」。それを実現するソフトウェアライブラリの1つである「OpenSSL」に、情報漏えいにつながりかねない重大なセキュリティホールが見つかったからだ。

　SSLは、SSLサーバー証明書とWebサーバー、Webブラウザーが一体となって成り立っているセキュリティの仕組みだ。通信を暗号化するとともに、Webサイトの運営元の身元を確認する役割を果たし、第三者による盗聴やなりすましの危険性を防いで、インターネット上の見知らぬ人とのやりとりを安全に行えるようになっている。

「OpenSSLの脆弱性に対し、『SSL』の世界を構成する一員として対処に当たった」と述べたシマンテック・ウェブサイトセキュリティの安達徹也氏（Trust Services プロダクトマーケティング部 上席部長）

　そのSSLを実現するソフトウェアの1つで重大な問題が明るみになった今、「SSL」という仕組みは果たして大丈夫なのか――。

　シマンテック・ウェブサイトセキュリティの安達徹也氏（Trust Services プロダクトマーケティング部 上席部長）は、「この脆弱性はあくまでOpenSSLという一ソフトウェアの問題に過ぎず、SSL暗号化通信という仕組みやSSLサーバー証明書の信頼性とは全く別の問題です」と断言する。

　シマンテック・ウェブサイトセキュリティの前身は、SSLサーバー証明書発行の「老舗」である日本ベリサイン。2010年8月にシマンテックの傘下に入り、「シマンテック セキュア・サーバ ID」「シマンテック グローバル・サーバ ID」など、シマンテックブランドを製品名に冠し、SSLサーバー証明書の発行業務を行っている。

インターネットの信頼性が揺らぐ？ OpenSSLの脆弱性が与えた影響

　OpenSSLは名前の通り、SSLによる暗号化通信を実現するためのオープンソースソフトウェアだ。2014年4月に、その拡張機能の1つ「Heartbeat」に脆弱（ぜいじゃく）性が存在していたことが明らかになった。通信相手が細工を施したパケットを送り込むだけで、メモリ上の情報を盗み見られてしまうというものだ。

　サーバーのメモリ上にはさまざまなデータが展開されている。攻撃のタイミングにもよるが、その時通信を行っているユーザーのIDやパスワード、クレジットカード番号にCookieなどの情報、最悪の場合は、サーバーが利用しているSSLサーバー証明書の秘密鍵などが危険にさらされる可能性があった。

OpenSSLの脆弱性を悪用した攻撃の仕組み（シマンテックセキュリティレスポンスブログより）

　万一、SSLサーバー証明書の秘密鍵が流出してしまえば、フィッシングサイトを作られてしまっても本物とまったく見分けが付かず、被害がさらに拡大する恐れがある。また、盗まれたパスワードを用いてWebサーバーになりすましアクセスをされれば、個人情報が盗み見られたり、金銭的な被害につながる恐れがある。その上、この攻撃を受けても、通常の設定ではログに痕跡が残らず、「被害を受けたか否か」「受けたとすればどれだけの被害があったか」を特定するのが困難だった。

　インターネット上の安全な通信を支えるはずのソフトウェアにこのように大きな問題が見つかった上、国内外で被害も発生したことから、「インターネットの信頼性」までも問われかねないと、日本国内だけでなく海外でも大きく報じられた。

「アップグレード」だけでは済まない脆弱性、対応は複雑に

　OpenSSLの脆弱性がこれほど話題になった理由について安達氏は「第一に、オープンソースのライブラリであるOpenSSLは幅広いプラットフォームで使われており、影響範囲が非常に大きかったことが挙げられます」と説明する。実際、ApacheやNginxといった多数のWebサーバーが利用している他、VPN通信ソフトウェアやAndorid端末などに幅広く組み込まれてきた。

　また、問題が明るみになった当初は情報が整理されておらず、「どのソフトウェアのどのバージョンに影響があるのか」を把握するのが困難だった。その上、単純にアップグレードするだけでは対処が終わらなかったことも、担当者の頭を悩ませる結果になったという。

　安達氏があらためて整理するOpenSSLの脆弱性への対策は、Webサイト側では

• OpenSSLを、問題を修正した1.0.1gにアップグレードする
• アップグレード後、SSLサーバー証明書を再発行する
• 古いSSLサーバー証明書を失効させる

という3ステップになる。加えて、利用者に対応状況を告知し、侵害を受けた可能性に備え、念のためパスワード変更を依頼すると万全だ。

　このように「この脆弱性は、どの担当者がどのように対処したらいいかという切り分けが難しく、そのため初動が遅れてしまった側面もありました。さらに、対策が単純ではなく、サーバー管理者、SSLサーバー証明書の管理者、利用者それぞれにやるべきことがあり、対策が多岐に渡っていたことも、問題を複雑にする要因となりました」（安達氏）。

必要な情報を必要な人に――オールシマンテックによる情報提供

　このように複雑な問題に対処する際に何より重要なのは、正確な情報だ。シマンテックはOpenSSLの脆弱性が公になった直後から、状況の調査と情報提供に取り組んできた。

　「『これはOpenSSLというオープンソースソフトウェアの問題に過ぎず、われわれには関係ない』というのではなく、SSLサーバー証明書という、インターネットを安全にする仕組みをご提供する一企業の責任として、この問題に対するベストプラクティスをまとめ、積極的に周知を行いました」と安達氏は振り返る。

　シマンテックは、コンシューマーから企業向けまで、幅広いセキュリティソリューションをグローバルに展開している。その幅広さを生かして今回も、SSLサーバー証明書発行業務に当たるシマンテック・ウェブサイトセキュリティだけでなく、コンシューマー向けの「ノートン」部門や企業向けセキュリティサービス部門、その背後でセキュリティ情報の収集・分析に当たる「セキュリティ・レスポンス」などが協調して情報を収集、整理して発信した。

　「シマンテックという枠組みの中で、SSLチームと他のチームとが連携しながら、法人顧客にも個人の顧客にも適切に対応できたと思います」と安達氏は振り返る。問題発覚当初、国内ではこの脆弱性に関する情報はそれほど多くなかったが、グローバルに展開している強みを生かし、海外からの情報も積極的に翻訳して紹介した。

　例えばWebサイト管理者向けには、コマンド実例を紹介しながら、バージョン確認とアップグレードの方法を具体的に紹介した。同時に、紹介した対策を後押しするための施策も実施した。子会社の日本ジオトラストも含め、SSLサーバー証明書の再発行を無償で行ったのはもちろん、サーバー証明書のインストール状況をチェックするためのツール「SSL Toolbox」を急遽改良し、OpenSSLの脆弱性の有無を検査できるようにした。脆弱性の有無をスキャンし、問題が見つかった場合は個別に顧客に通知することまで実施したという。

シマンテックが公開した情報の一例。確認方法や対処方法などを丁寧に説明している

　一方コンシューマー向けにも、Webサイトの安全性を評価できるサービス「ノートン セーフウェブ」でOpenSSLの脆弱性の有無をチェックできるようにし、ユーザーがそれと気付かず脆弱なサイトにアクセスすることのないよう注意を促した。

「ノートン セーフウェブ」では、URLを入力するだけでOpenSSLの脆弱性の有無をチェックできるようにした

　こうした一連の取り組みが功を奏してか、全体として、OpenSSLの脆弱性が存在するサイトは減少している。シマンテックはじめセキュリティ業界全体がこの問題について警鐘を鳴らし、対策を促した効果があったといえるだろう。

Webサイトは企業の顔、セキュリティ対策は社会的責任に

　安達氏は今回の一件を振り返り、「たとえOpenSSLを使っていないWebサイトでも、『今のWebサイトが未来永劫安全というわけではない』という教訓が得られたのではないでしょうか」と述べる。つまり、今のWebサイトを構成している技術を「一生モノ」と考えずに、きちんとメンテナンスし続けていくことが重要だという。

　事実、OpenSSLの脆弱性に続き、Apache Strutsの脆弱性が発覚するなど、日々新たな脆弱性が発見されており、Webサイトを取り巻く脅威は後を絶たない。定期的な脆弱性検査によって、Webサーバーやコンポーネント、アプリケーションの穴をふさぐ作業が必要だ。また通信の暗号化に用いられるアルゴリズムも、時間の経過に伴って危殆化は免れず、適切なタイミングでの更新が欠かせない。

　「Webサイトは、企業にとっては表玄関の役割を果たしており、最も攻撃を受けやすい部分です。しかも、Webアプリケーションは日々進歩しています。これに伴いリスクも進歩していると考えるべきでしょう。脆弱性が全て見つかりきっているとは言えず、新たな攻撃の土壌となる可能性があります」と安達氏は指摘する。

　しかも、最近はWebがビジネスに直結している。万一セキュリティ問題が発生すると、その対処をどうするかは、技術的な判断だけにとどまらず、経営的な判断も求められる。「緊急対応が必要な脆弱性が見つかったときに、『今のサービスを止めてまで対応すべきかどうか』『セキュリティを取るか、売り上げを取るか』という判断を下すのは非常に難しいことです」（安達氏）。

　従って、このような有事に備えたセキュリティ担保策を練っておくことも重要だ。例えばWebアプリケーションファイアウォール（WAF）を併用していれば、Apache Strutsの脆弱性を狙うような攻撃をいったん遮断しつつ、時間を掛けて根本的な対策、改善策を探り、自社にとって最適なタイミングで対応することが可能になる。「時間を稼ぐことで、ビジネスとのトレードオフを発生させることなく対処できるようになります」（安達氏）。

　シマンテックのSSLサーバー証明書には「脆弱性アセスメントサービス」や「マルウェアスキャン」などが付属している他、クラウド型のWAF製品も提供しており、包括的なWebセキュリティによってWebをより安全なものにする手助けとなっている。

　安達氏によると、最近では攻撃の対象は大手企業だけでなく、中堅・中小企業にも広がっている。大手企業に比べIT予算やセキュリティに割ける人的リソースの限られている中堅・中小企業にとって、オールインワンのWebセキュリティ対策は魅力的な選択肢ではないだろうか。

いざという時に頼れるパートナーとともに

　Webサイトは企業の顔だ。もしそこで何らかの事故が発生すれば、アクセスしてきた顧客にまで影響が及び、企業の責任が追及されることになる。現に米国のターゲット社では、史上最悪規模ともいわれる数千万人分の顧客クレジットカード情報流出事件の責任を取って、CEOが辞任する事態にまで至った。

　こうした動きを考えても、「Webサイトのセキュリティを保つことは、企業にとってもはや社会的な責任になっていることをぜひ認識していただきたいと考えています」と安達氏はいう。

　「今日は大丈夫でも、明日は危険にさらされるかもしれない」ということを認識した上で対処に取り組むことが、Webサイトのオーナーには求められる。だが、そのために必要な情報を全て自力で収集し、対策を行うのは非現実的だ。それぞれの企業にとってセキュリティを保つことは「本業」ではない。

　そんな時に頼りにしたいのは、包括的なセキュリティソリューションを展開し、いざという時には確実に情報とサポートを提供してくれるパートナーだ。企業向けセキュリティ、コンシューマー向けセキュリティ、SSLサーバー証明書といった多様なソリューションと、経験に裏打ちされた知見を提供しているシマンテックは、そんな企業をしっかりバックアップしてくれる、頼れるパートナーといえるだろう。