2014年4月10日に米国で掲載されたブログ記事の抄訳です。

重要事項:

我々はSSLが現代のインターネットにおいていかに重要であるか、またHeartbleed脆弱性 (CVE-2014-0160: OpenSSL Private Key Disclosure Vulnerability) がWeb全体にまたがる通信の完全性をどのように侵害するかを認識しています。これまで確認できていないことは、このウサギの巣穴がどれだけ深く続くのかということです。アリスには申し訳ありませんが、大変な状況です。

Heartbleed の動作手法:

我々は既にこの問題を理解しています。攻撃者はSSLハートビートを介してメモリのランダムな64KBのチャンク (データ列) を傍受することができます。しかし、見落とされがちな重要な点があります。端末上の脆弱なSSLサービスは、端末全体の情報を漏えいするということです。たとえば、IT管理者がリモートから端末に接続するのに使用するSSL VPNサーバ、SSLで保護される汎用VoIPサービス、SSLログイン後に実行されるIRCサーバなどがあります。脆弱性のあるバージョンのSSLを使用する内部および外部アプリケーションのすべてにパッチを適用する必要があります。そうしなければ、サーバ全体がセキュリティ侵害された状態のままです。市販のものか社内構築されたものかに関わらず、通常の組織が使用するすべてのSSL対応アプリケーション全体にわたってHeartbleedの影響を認識し熟考する必要があります。

影響:

これまで、Heartbleedの影響に関する記事では、Yahoo!、Google、Dropbox、Facebook、オンラインバンキング、その他の何千もの脆弱な標的といったような、HTTPS対応のWebサイトやWebアプリケーションに対するセキュリティ侵害が注目されてきました。これらへの影響は甚大ですが、それらサイトはすべて今後数週間以内に更新され、メディアの狂乱が沈静化し、時間の経過とともにHeartbleedは過去のものになると思います。

セキュリティ専門家にとっては、これは氷山の一角です。この脆弱性は、かつて非常に高度な脅威に対して使われたツールを、普通の攻撃者の手に渡してしまいます。特に、組織に侵入し、その内部を徘徊するという機能です。多くの中規模企業では、社内で実行しているSSL暗号化を使用したサービスに適切な対処を施していません。

この前提知識がなければ、Heartbleedで実行できる認証情報やデータの盗聴ツールに対して、セキュリティチームが社内の攻撃経路を防御するというのは非常に困難です。企業ネットワークへの攻撃者の足掛かりは、すべて突然に誰がやっても同じレベルになります。

たとえば、我々は実環境でHeartbleedを利用した概念実証を確認しました。誰かが自動化された内部スキャナ (シグネチャ) を作成する前に、ローカルネットワーク上の脆弱なサービスを検出し、それらにワンクリックで攻撃実施するのにどのくらい時間がかかるでしょう?セキュリティ業界はこの先何年も、この脆弱性の深刻な影響に対処する必要があります。

適用可能な対処:

希望はあります。パロアルトネットワークスはHeartbleedに対する保護を提供する唯一の存在です。2014年4月9日より、我々はこの脆弱性の悪用から自動的にお客様を保護する複数のシグネチャをリリースしました。

  • 緊急コンテンツリリース・バージョン429 (IPS 脆弱性シグネチャID 36416)
  • 緊急コンテンツリリース・バージョン 430 (IPS 脆弱性シグネチャID 40039, 36417, 36418)

さらに、次世代セキュリティプラットフォームの中核であるPAN-OSは、OpenSSLの脆弱性のあるバージョンを使用しないため、影響を受けません。我々は状況を監視し続け、必要に応じて新しいシグネチャを開発し、お客様がHeartbleedから安全を確保できるようにします。

パロアルトネットワークスは企業に侵入するHeartbleedのような脅威を防ぐために、根本的に異なる識別および動作アプローチを採用しています。他のセキュリティベンダは、攻撃の明確な兆候を識別するために、絶えず膨大な量のパターンベースのシグネチャを作成し、何か発生するたびに新しいシグネチャをリリースする必要があります。これとは対照的に、我々のセキュリティプラットフォームは、利用されるポートやプロトコルに関わらず、アプリケーション層においてSSL/TLSトンネルを含むすべてのトラフィックをデフォルトでデコードします。既知のパターンに対して多数のシグネチャを一致させようと四苦八苦する代わりに、我々は正規表現技術で制限される従来のネットワークセキュリティ・デバイスで行うことができない方法で、異常を検出するためにプロトコル (今回のケースではSSL) をステートフルに解析することができます。

パロアルトネットワークスのセキュリティプラットフォームの内側にあるすべてのサービスが自動的にHeartbleedから保護されます。内部と外部の境界、データセンタ、セグメント化された内部ネットワークの主要ポイントのいずれであっても、機密データがHeartbleedにより漏洩することはありません。