2014年4月9日に米国で掲載されたブログ記事の抄訳です。

OpenSSLで深刻な脆弱性が見つかった(CVE-2014-0160: OpenSSL Private Key Disclosure Vulnerability)問題はOpenSSL 1.0.1から1.0.1fを実行しているサーバーに影響があり「信頼できる認証局から発行された証明書を利用しているSSLウェブサーバーの17%以上」と推測されています。

「Heartbleedバグ」として知られるこの脆弱性は、脆弱性のあるOpenSSLを利用しているエンタープライズ向けサーバーに深刻な影響を及ぼします。最悪の場合、SSL暗号化通信経由でエンドユーザーの通信内容が漏えいする可能性があります。

パロアルトネットワークスはいち早くこの脆弱性に対処しており、以下のようにHeartbleedの悪用からお客様の環境を保護します。

  • パロアルトネットワークスのコアOSであるPAN-OSは、脆弱性が確認されているバージョンのOpenSSLライブラリを使用していないためCVE-2014-0160の影響は受けません。
  • 脆弱性に対する攻撃を自動で特定しブロックする更新シグネチャを2014年4月9日に配信しています。 (IPS脆弱性シグネチャID 36416)

より明確に言うと、パロアルトネットワークスのソフトウェアには脆弱性はなく、「脅威防止サブスクリプション」を受けられているお客様と利用ユーザーはHeartbleedから保護されています。念のために、「脅威防止サブスクリプション」を受けられているお客様は、デバイスが最新のバージョンに更新されている事をご確認ください。

また、全ての企業ユーザーは2014年4月7日に公開されたOpenSSLの最新パッチ(1.0.1g)を適用してアップデート完了後、早急にSSL秘密鍵の置き換えを実行される事を推奨します。お客様とベンダーやパートナーとの親密な関係維持のためにも、脆弱性の確認されたシステムをいち早く特定し、迅速にパートナーに連絡することが大切です。

エンドユーザーの対処としては、インターネットを利用する際に公共のWi-Fiホットスポットの利用を控えたり、メールに記載されている知らないリンクへのアクセスを避けたり、不審なファイルのダウンロードや開封をしないという事などに、いつも心がけてください。