OpenSSL Project が提供する OpenSSL の heartbeat 拡張の脆弱性「The Heartbleed Bug」が発見されました。

OpenSSLは、広く使われるオープンソースの暗号ライブラリであり、The Heartbleed Bugはサーバーの情報を第三者が容易に取得することが可能となるものであり、情報が漏洩したとしてもログが残らず、漏えいしたことはサーバー管理側でもわかりません。

当サイトおよび弊社管理サイトすべてにおいて発表当日の8日夜、対策を完了しました。

現在当サイトにアカウントをお持ちの方は、パスワードをよりセキュアなパスワードに変更してください。

なお、当サイトでは設置しておりませんが、一般的にSSLを運用されているサイトでは、SSLの証明書の秘密鍵も漏えいしている場合があります。SSLを運用しているサイトは、現在のSSL証明書を無効にしたうえで再発行し、新たに埋め込みなおす作業が必要となります。

＜参考＞

OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付することでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得する可能性があります。（JPCERTより抜粋）

OpenSSL の脆弱性に関する注意喚起（JPCERT）
http://www.jpcert.or.jp/at/2014/at140013.html

The Heartbleed Bug
http://heartbleed.com/