パロアルトネットワークス「Heartbleed」問題に対処 (CVE-2014-0160)

2014年4月10日
パロアルトネットワークス合同会社
*******************************************************************

　パロアルトネットワークス「Heartbleed」問題に対処 (CVE-2014-0160)

*******************************************************************

2014年4月9日に米国で掲載されたブログ記事の抄訳です。
< http://researchcenter.paloaltonetworks.com/2014/04/palo-alto-networks-addresses-heartbleed-vulnerability-cve-2014-0160/ >

　OpenSSLで深刻な脆弱性が見つかった(CVE-2014-0160：OpenSSL Private Key Disclosure Vulnerability)問題はOpenSSL 1.0.1から1.0.1fを実行しているサーバーに影響があり「信頼できる認証局から発行された証明書を利用しているSSLウェブサーバーの17％以上」と推測*1されています。

*1 引用元：Netcraft 「Half a million widely trusted websites vulnerable to Heartbleed bug」
URL: < http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html >

　「Heartbleedバグ」として知られるこの脆弱性は、脆弱性のあるOpenSSLを利用しているエンタープライズ向けサーバーに深刻な影響を及ぼします。最悪の場合、SSL暗号化通信経由でエンドユーザーの通信内容が漏えいする可能性があります。

　パロアルトネットワークスはいち早くこの脆弱性に対処しており、以下のようにHeartbleedの悪用からお客様の環境を保護します。

・パロアルトネットワークスのコアOSであるPAN-OSは、脆弱性が確認されているバージョンのOpenSSLライブラリを使用していないためCVE-2014-0160の影響は受けません。

・脆弱性に対する攻撃を自動で特定しブロックする更新シグネチャを2014年4月9日に配信しています。 (IPS脆弱性シグネチャID 36416)

　より明確に言うと、パロアルトネットワークスのソフトウェアには脆弱性はなく、「脅威防止サブスクリプション」を受けられているお客様と利用ユーザーはHeartbleedから保護されています。念のために、「脅威防止サブスクリプション」を受けられているお客様は、デバイスが最新のバージョンに更新されている事をご確認ください。

　また、全ての企業ユーザーは2014年4月7日に公開されたOpenSSLの最新パッチ（1.0.1g）を適用してアップデート完了後、早急にSSL秘密鍵の置き換えを実行される事を推奨します。お客様とベンダーやパートナーとの親密な関係維持のためにも、脆弱性の確認されたシステムをいち早く特定し、迅速にパートナーに連絡することが大切です。

　エンドユーザーの対処としては、インターネットを利用する際に公共のWi-Fiホットスポットの利用を控えたり、メールに記載されている知らないリンクへのアクセスを避けたり、不審なファイルのダウンロードや開封を
しないという事などに、いつも心がけてください。

【パロアルトネットワークスについて】
　パロアルトネットワークス（NYSE: PANW）は、サイバー攻撃から数多くの企業、行政機関、プロバイダのネットワークを守るサイバーセキュリティのリーディングカンパニーです。当社の提供するセキュリティ・プラット
フォームは、変化の激しい今日のIT業界で重要となるアプリケーションやユーザー、コンテンツを基にセキュリティの保護を行い、お客様のビジネス展開をサポートします。
詳しくは< http://www.paloaltonetworks.jp >をご覧ください。

Palo Alto Networks、Palo Alto Networksロゴは米国におけるPalo Alto Networksの商標です。本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。