OpenSSL の Heartbleed 脆弱性への対応

米国において 2014年4月7日に、広く利用されている暗号化ライブラリである OpenSSL における深刻なバグ情報が公開されました。

この脆弱性を利用すると、悪意のある第三者が暗号化に利用する秘匿情報を外部から取得出来てしまい、それによってご利用のサービスの情報が漏洩してしまう可能性があります。

4月11日追記

  • パスワード変更を推奨する旨「みなさまへのお願い」における記載を変更しました。
  • サービスの API キーについても変更を推奨する旨を「みなさまへのお願い」に追記しました。
  • 自動ログインクッキーを各サービスで本日中にリセットするお知らせを追記しました。
  • API 用のトークンを Typetalk において本日中にリセットするお知らせを追記しました。

4月16日追記

  • 4月11日にログインクッキーや Typetalk における API 用のトークンをリセットした旨に記載を変更しました。
  • 4月15日に古い SSL 証明書の失効手続きが完了したことを追記しました。

ヌーラボでの対応状況

ヌーラボではこの情報を確認した直後よりその影響の甚大さから、弊社が提供する全サービス及び弊社運営のウェブサイトにおける影響範囲の調査を即座に開始し、対応を行っております。

弊社サービスにおいて影響のあるバージョンの OpenSSL を利用しているサーバについては、状況に応じてパッチの適用及びライブラリのアップデートを行い、4月8日23時頃に全サーバでの対応を完了しました。また、一部で利用している Amazon Web Services のロードバランサーについても4月9日9時時点に対応が完了したことを確認しました。( 参考 )

現時点でこの脆弱性に起因する問題は確認されておりませんが、脆弱性の性質上検知が難しいという点もあり、各サービスで利用している SSL 証明書の再発行及びサーバへの反映も行いました。そちらは4月9日 13 時頃に全サーバにおける対応が完了しております。古い証明書については、失効手続きを行い、4月15日17時38分にその全てが失効した証明書のリストに記載されたことを確認いたしました。

また、4月11日に各サービスにおいて、4月9日以前に作成された自動ログイン用の情報をリセットさせていただきました。また、Typetalk について、API を利用する際に発行されるアクセストークンのうち、4月9日以前に発行されたものもリセットさせていただきました。

これらの対応により、現時点で本脆弱性に起因する問題は発生しない状況になっております。脆弱性の影響を受けないことは SSL Server Test やその他のツールにて確認しています。

みなさまへのお願い

より安全を期する為に、各サービスにおいてパスワードを再設定していただくことを推奨いたします。各々のサービスでの設定の変更方法については以下をご参照ください。

また、API を利用しているアプリケーションにおいては、その API 用の秘匿情報 (API キーや OAuth 用のクレデンシャル)の再発行を推奨します。

各々のサービスにおける、本件に関する質問や対応状況の確認をしたい場合には各々のサービスの問い合わせ窓口よりご連絡ください。


 本件と直接の関連はありませんが、こちらの記事(英語)で紹介している通り、暗号化のための秘匿情報が将来漏洩した場合でも、過去の通信内容を保護できる技術である Perfect Forward Secrecy ( 参考 : Twitter 社での導入についてのニュース ) をサポートする暗号化スイートを昨年の夏頃より採用を進めております。こういった、今回のような秘匿情報が仮に一時的に漏洩したとしても過去の通信を保護するような取り組みも行っています。

弊社ではユーザのみなさまに安心してご利用いただけるよう、引き続きセキュリティ問題には迅速に対応して参りますので、よろしくお願いいたします。

より良いチームワークを生み出す

チームの創造力を高めるコラボレーションツール

製品をみる