エクスプロイト&脆弱性
OpenSSL 3.0.7の脆弱性(CVE-2022-3602, CVE-2022-3786)および修正対応に関する最新情報
OpenSSLの脆弱性(CVE-2022-3602, CVE-2022-3786)がもたらす被害の可能性について説明します。
OpenSSLの脆弱性について知っておくべきこと・やるべきこと
OpenSSLは、暗号化およびその他のセキュリティやプライバシーに関する機能を提供する上でビジネスおよび社内用アプリケーションとして広く利用されているオープンソースの暗号化ライブラリです。今回、このOpenSSL上で新たな脆弱性が確認されました。OpenSSLは、オンプレミス、クラウド、SaaSアプリケーション、エンドポイント、サーバ、IoTやOT環境など、さまざまな用途で展開されている各種アプリケーションに搭載されています。今回確認された脆弱性に関しては、影響するバージョン範囲が限定的であること、悪用が容易ではない、の2点から当初見積もりよりも緊急性は下がりました。自組織ネットワーク内での影響範囲を特定し、確実に対処を行ってください。
今回の脆弱性に伴うOpenSSL上の問題点
今回確認された脆弱性(CVE-2022-3602, CVE-2022-3786)は、OpenSSLのバージョン 3.0.0 から 3.0.6 における認証プロセスに関する不具合であり、TLS クライアントもしくはサーバで認証手続きを実行するアプリケーション上で発生します。脆弱性に対処するOpenSSLのプロジェクトチームは、この脆弱性を「高」として分類し、修正対応されたバージョン3.0.7が既に利用可能であることを周知しています。また、OpenSSLのセキュリティチームから提供された追加情報は、こちらから参照できます。
幸い、今回発覚した脆弱性は、OpenSSL のバージョン 3.0.0 から 3.0.6 までしか影響を受けないため、障害が発生するアプリケーションの範囲は限定されています。バージョン3.0は、ちょうど1年前の2021年9月7日にリリースされたばかりであり、多くのアプリケーションは、まだこの脆弱性が影響しない古いバージョンで使用されています。
さらにまた、今回の脆弱性の影響を受けるバージョンで使用されているアプリケーションの場合も直ちに悪用されるわけではないようです。実際の脆弱性悪用に際しては、各アプリケーションで脆弱なOpenSSL がどのように使用されているか、周辺のプラットフォームがどのように関連しているかなど、複数の要因が考慮される必要があるからです。
今回の脆弱性にどのように対処すべきか
今回の脆弱性に関する情報開示は、まだ新しく、セキュリティベンダやセキュリティ部門でも情報が精査されている段階です。今すぐできる対策は、以下のとおりとなります。
1. 慌てないこと:OpenSSL 3.0より前のバージョンを使用しているアプリケーションは未だたくさんあり、これらは影響を受けません。そのため、ほとんどのアプリケーションが今回の脆弱性の悪用被害を受ける可能性は極めて低いといえます。
2. OpenSSLのバージョン3.0.0 から 3.0.6 を使用している社内アプリケーションを特定しておくこと:このような時こそ、影響を受けるバージョンの OpenSSLを使用している社内アプリケーション(従業員や請負業者が作成したカスタムアプリケーションなど)を特定する格好の機会といえます。既存の「ソフトウェア部品表」(SBOM: software bill of materials)の活用や、社内ソースコードレポジトリへのスキャン実行などが有効でしょう。開発者側では、開示された脆弱性の詳細を参照することで、各アプリケーションが脆弱であるかどうかを判断することも可能です。
3. サードパーティベンダの状況確認に備えること:多くのサードパーティアプリケーションがOpenSSLを使用しており、オンプレミス、SaaSを問わず、使用中のアプリケーションのベンダに問い合わせし、影響を受けているかどうかなどの状況を把握しておく必要があります。なお、各ベンダも、11月1日(火)にこの脆弱性の詳細を知ったばかりであり、安全な(3.0より前の)バージョンを使用していない限り、悪用の可能性について直ちにコメントすることは難しい点も考慮しておくべきでしょう。
4. 修正パッチ対応の準備をしておくこと:社内およびサードパーティ製アプリケーションの一部に緊急のパッチ適用が必要となる事態に備えておくことです。インベントリに基づいた優先順位を検討し、短期間でのパッチ適用業務急増に備えた十分なリソースの確保に備えておくことです。
5. 一部のアプリケーションが一時的にオフラインとなる可能性に備えておくこと:脆弱性のさらなる詳細説明により、企業や組織の業務やデータに対する深刻なリスクが明らかとなり、そうした中、パッチ対応が速やかに適用できないといった場合、対象となるアプリケーションを一時的にオフラインにする必要性が生じるかもしれません。なお、今回の脆弱性悪用リスクの特殊性を考慮すると広範な被害につながるリスクは低いとはいえます。
6. 今回の脆弱性に関する詳細が判明した時点で適切なソリューションを講じること:修正パッチの適用以外のソリューションについては、今回の脆弱性に関するさらなる詳細が判明してからとなります。侵入防御システム(トレンドマイクロ「TippingPoint」など)やホスト侵入防御システム(トレンドマイクロのエンドポイントセキュリティ製品「Cloud One」および「Apex One」の仮想パッチ機能など)のソリューションが、今回の脆弱性が悪用されるリスクに対して有効です。
トレンドマイクロの製品は今回の脆弱性の影響を受けますか?
トレンドマイクロでは、現在、OpenSSL 3.0の脆弱性の悪用可能性について当社製品に関する精査を実施しています。進捗については随時、こちらのページでお伝えしていきます。当該ページおよびこのブログ記事も、詳細が判明次第、更新されます。
参考記事:
• 「Latest on OpenSSL 3.0.7 Bug & Security-Fix」
By: Eric Skinner
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)