ハートブリード(Heartbleed)やその他類似した SSL 関連の脆弱性をいかに回避しますか

i-sprint-blog-10jun2014

アルベルト・チン(Albert CHING、CEO & CTO)、タン・ジットキアット(TAN Jit Kiat 、ディレクター、製品エンジニアリング)による

OpenSSL暗号化バグであるハートブリードが最近暴露したことは私たちが直面し続けるセキュリティ脅威のまたもう一つのリマインダーです。ハートブリードバグはインターネット上の任意の人が脆弱バージョンのOpenSSLソフトウェアに保護されるシステム上のメモリーを読むことを許可します。そのことによって、サービス提供者を識別し、トラフィックとユーザーの氏名とパスワードおよび実際のコンテンツを暗号化する秘密キーを危殆させます。そして攻撃者は通信を盗聴し、サービスとユーザーからデータを直接に盗み取り、サービスとユーザー1を偽装することまで許されます。

このバグはソフトウェア製品の中に2年以上存在し、一流のセキュリティ専門家たち2に「災難」と言われます。当面の解決策は影響されたシステムを分別し、SSL証書を修復、更新させることです。また、ユーザーはパスワードを変更し、流出した情報の悪用を追跡するよう知らせられる必要もあります。

現在バグが修正されたとしても、類似したタイプのバグが再起するか発覚されないままソフトウェアに隠れることがない保証もありません。類似した影響を持つそういう脆弱性はほかのSSLライブラリーかアプリケーション製品に発生するかもしれません。

また、そのことはSecure Socket Layer (SSL)がデータを秘密に保護し、オンライン取引の統合を守ることに十分であるかという問題に導きます。企業はウェブサービスを通じるデータ流出のリスクを管理し、顧客に彼らのデータの安全を盗聴者から守ると確信させることができますか。

SSL暗号化が破壊されてもセンシティブなデータが流出することを防止するよう、パスワードとセンシティブな取引データを守るために、企業には端末間暗号化(E2EE)のような強力なデータ保護ソリューションが必要です。脆弱なウェブかアプリケーションサーバーのメモリーにあるセンシティブデータもE2EEはその暗号化状態を確実に保証します。ハートブリード型のバグだけでなく、ソフトウェア開発者またはDBAたちがセンシティブなデータを不本意か意図的にリークすることを防止します。実際に、シンガポール金融管理局(MAS :Monetary Authority of Singapore)と香港金融管理局(HKMA:Hong Kong Monetary Authority)は金融機関がe-バンキングサイト上のパスワードと重要な取引データを保護するようにE2EEを利用することを正式に命令しました。

信用証明書とトランザクションデータの保護ソリューションのためのi-Sprint ユニバーサル認証サーバー(UAS:Universal Authentication Server) E2EEはE2EE要求に満たすよう設計されています。E2EEは完成された終端間暗号化ソリューションで、FIPS公認のハードウェア・セキュリティ・モジュール(HSM: Hardware Security Module)およびユーザーエンドポイント暗号化ライブラリーとバンドルしています。上記のユーザーエンドポイント暗号化ライブラリーは全ての主流ウェブブラウザーだけではなく、アップルiOSとアンドロイド(Android)、ブラックベリー(BlackBerry)、ウィンドウズモバイルプラットフォーム(Windows mobile platforms)に対応します。

-Sprint UAS E2EEソリューションは多くの金融機関の間に定評のあるソリューションで、即製の製品を提供し、諸組織がそれを使ってパスワードとセンシティブデータを暗号化し、さらにSSL保護も加えて暗号化されたデータを通信チャンネル経由で送信することができます。それはサーバーに送信する前に、ユーザーのデスクトップ、スマートフォン上で、暗号化ライブラリーとキーデータを使ってデータを暗号化することによって実現されます。暗号化されたデータはウェブサーバー、さらにアプリケーションサーバー上までも暗号化されたままの状態に維持されます。SSLで暗号化された部分のデータはアプリケーションサーバーにて解読されるかもしれませんが、パスワードの場合、HSM内部にて確認されるまで暗号化されたままです。HSMはFIPS基準を満たすように作られた耐改ざん性ハードウェアを使用する暗号化装置です。それゆえ、パスワードは入る点から対照の点まで暗号化されます。転送と保存する間にイントラネットにある誰もが平文のパスワードに対してアクセスする権利がないことを保証し、内部の不正行為からも保護します。また、ハートブリード型の脆弱性対策としても有効です。

総じて言えば、有効なデータ保護は分層したセキュリティソリューションズの統合および正しいプロセスが必要です。組織は次のウェブサーバー脆弱性の発覚を待つべきではなく、SSL保護に依頼する代わりに、アプリケーション層にある終端間暗号化ソリューションズに着目し、内密情報を保護すべきです。

1 The Heartbleed Bug
2 Bruce Schneier