Heartbleed（ハートブリード）とは

Heartbleed（ハートブリード）とは、2014年4月7日に発表されたOpenSSLの脆弱性です。
トレンドマイクロ社がAlexaランキングトップ100万ドメイン中、幾つかの国々のトップレベルドメイン名を抽出してスキャン調査を行ったところ、2014年4月11日時点で、調査対象ドメイン全体のうち約5％がHeartbleed脆弱性の影響を受けることが判明したといわれています。

脆弱性の概要

死活監視用の「Hartbeat」という機能がありましたが、特定の状況下でリクエストを受けた場合、本来制限されていた桁数異常のメモリ情報を取得する事ができる脆弱性が存在していました。

脆弱性の確認されたバージョン

• OpenSSL 1.0.1 ～ 1.0.1f
• OpenSSL 1.0.2-beta ～ 1.0.2-beta1

※但し「OPENSSL_NO_HEARTBEATS」フラグをアクティベートし再コンパイルした場合を除く

対象となるサーバソフトウェア

• Apache
• Nginx

Heartbleed（ハートブリード）対策

各種ハードウェア並びにソフトウェア・SSLのベンダーの公開している対策に従い、バージョンアップや「OPENSSL_NO_HEARTBEATS」のフラグをアクティベートした再コンパイル、証明書の再発行等を行ってください。