ネットエージェント株式会社(本社:東京都墨田区/代表取締役社長:杉浦隆幸、以下ネットエージェント)では
本日より、SSL通信の証明書の秘密鍵が漏洩する可能性のある重大な脆弱性である、
OpenSSL Heartbleed脆弱性の有無を、Web上から対象のホスト名を入力するだけで容易に判別できるサービス
「Heartbleed検査サービス」を、無償にて提供開始します。
報道関係者各位
プレスリリース
~OpenSSLのHeartbleed脆弱性があるかを調査~
Heartbleed検査サービス ――――――――――――――――――――――――――――――――――――――――
ネットエージェント株式会社(本社:東京都墨田区/代表取締役社長:杉浦隆幸、以下ネットエージェント)では本日より、SSL通信の証明書の秘密鍵が漏洩する可能性のある重大な脆弱性である、OpenSSL Heartbleed脆弱性の有無を、Web上から対象のホスト名を入力するだけで容易に判別できるサービス「Heartbleed検査サービス」を、無償にて提供開始します。
【サービス提供の背景】
2014年4月7日に公開されたOpenSSLのHeartbleed脆弱性(CVE-2014-0160)は、インターネット上で標準的に利用される暗号通信プロトコルであるSSL/TLSを実装したオープンソースのライブラリ「OpenSSL」に存在した、SSL/TLSの暗号化によって保護されている情報が特殊な環境下でなくても盗まれてしまう脆弱性で、SSLによる暗号化通信の安全性を覆すとても大きな問題です。
この脆弱性はOpenSSLの1.0.1から1.0.1fまでのバージョンに存在するもので、SSLで通信している相手のメモリを64KB単位で何度でも繰り返し(=欲しい情報が得られるまで)閲覧する事が可能で、暗号化に利用しているSSL証明書の秘密鍵が盗まれ、過去の暗号化通信までもが解読される可能性、つまり過去にさかのぼってユーザの情報が漏洩する可能性があります。この脆弱性によりすでに一部サイトにてユーザのID、パスワードの情報が漏洩する等といった被害が確認されています。
更に悪い事に、この脆弱性では攻撃された記録が一切残らない為、攻撃者に攻略されたかどうかをログによって検査する等といった判断が出来ません。ですので、安全面から当該バージョンを利用してインターネットに公開していた場合は例外なく、攻撃者に攻略されたであろうという前提で対応すべきだと考えます。
【詳細はこちら】
http://ssl.white.hacker.jp/hb/hb?
【ネットエージェントについて】
ネットエージェント株式会社は、ネットワークセキュリティを専門に行う企業として、13人の発起人によって2000年6月に設立されました。当時の日本にはまだ馴染みのなかった「ネットワークセキュリティ」分野に火をつけ、数々の賞に輝く製品・サービスを提供する先駆者として業界をリードし続けております。
昨今では、「the Movie」など、不正に個人情報を窃取するアプリをいち早く発見し、危険性や対策方法を世間に広めるといった活動を実施しているほか、Androidアプリに内在するリスク評価を行い、ユーザへ情報を開示するサイト「secroid(セキュロイド)」を立ち上げるなど、Android市場とAndroidユーザの保護に貢献しております。
プレスリリース
2014年4月10日
ネットエージェント株式会社
―――――――――――――――――――――――――――――――――――――――― ネットエージェント株式会社
~OpenSSLのHeartbleed脆弱性があるかを調査~
Heartbleed検査サービス ――――――――――――――――――――――――――――――――――――――――
ネットエージェント株式会社(本社:東京都墨田区/代表取締役社長:杉浦隆幸、以下ネットエージェント)では本日より、SSL通信の証明書の秘密鍵が漏洩する可能性のある重大な脆弱性である、OpenSSL Heartbleed脆弱性の有無を、Web上から対象のホスト名を入力するだけで容易に判別できるサービス「Heartbleed検査サービス」を、無償にて提供開始します。
【サービス提供の背景】
2014年4月7日に公開されたOpenSSLのHeartbleed脆弱性(CVE-2014-0160)は、インターネット上で標準的に利用される暗号通信プロトコルであるSSL/TLSを実装したオープンソースのライブラリ「OpenSSL」に存在した、SSL/TLSの暗号化によって保護されている情報が特殊な環境下でなくても盗まれてしまう脆弱性で、SSLによる暗号化通信の安全性を覆すとても大きな問題です。
この脆弱性はOpenSSLの1.0.1から1.0.1fまでのバージョンに存在するもので、SSLで通信している相手のメモリを64KB単位で何度でも繰り返し(=欲しい情報が得られるまで)閲覧する事が可能で、暗号化に利用しているSSL証明書の秘密鍵が盗まれ、過去の暗号化通信までもが解読される可能性、つまり過去にさかのぼってユーザの情報が漏洩する可能性があります。この脆弱性によりすでに一部サイトにてユーザのID、パスワードの情報が漏洩する等といった被害が確認されています。
更に悪い事に、この脆弱性では攻撃された記録が一切残らない為、攻撃者に攻略されたかどうかをログによって検査する等といった判断が出来ません。ですので、安全面から当該バージョンを利用してインターネットに公開していた場合は例外なく、攻撃者に攻略されたであろうという前提で対応すべきだと考えます。
【詳細はこちら】
http://ssl.white.hacker.jp/hb/hb?
【ネットエージェントについて】
ネットエージェント株式会社は、ネットワークセキュリティを専門に行う企業として、13人の発起人によって2000年6月に設立されました。当時の日本にはまだ馴染みのなかった「ネットワークセキュリティ」分野に火をつけ、数々の賞に輝く製品・サービスを提供する先駆者として業界をリードし続けております。
昨今では、「the Movie」など、不正に個人情報を窃取するアプリをいち早く発見し、危険性や対策方法を世間に広めるといった活動を実施しているほか、Androidアプリに内在するリスク評価を行い、ユーザへ情報を開示するサイト「secroid(セキュロイド)」を立ち上げるなど、Android市場とAndroidユーザの保護に貢献しております。
【本サービス、および本プレスリリースに関するお問い合わせは】
ネットエージェント株式会社 企画部
〒130-0022
東京都墨田区江東橋4-26-5 東京トラフィック錦糸町ビル9階
電話番号:03-5625-1247(企画部直通)
FAX番号:03-5625-9008
URL:http://www.netagent.co.jp/
メールアドレス:press@netagent.co.jp
ネットエージェント株式会社 企画部
〒130-0022
東京都墨田区江東橋4-26-5 東京トラフィック錦糸町ビル9階
電話番号:03-5625-1247(企画部直通)
FAX番号:03-5625-9008
URL:http://www.netagent.co.jp/
メールアドレス:press@netagent.co.jp