Heartbleed 問題へのウィキメディアの対応

Heartbleed bugのロゴマーク

4月7日、インターネット上のセキュリティの中心的要素であるOpenSSLに、広範な影響をもたらす問題があることが分りました。この脆弱性は全ウィキメディアのウィキで修正済みです。アカウントを作らずにウィキペディアを読んでいるだけの方は、なにも対処する必要はありません。ウィキメディアのウィキでアカウントを持っている方は、次回アカウントを使う際に再ログインが必要です。

このOpenSSLの特定のバージョンには、制限された情報が読み取られる脆弱性があり、それを使っているどんなウェブサイトでも攻撃が可能となってしまっています。この問題は、Heartbeat(心拍の意)という機能のバグから来ているため、Heartbleed(心臓出血の意)と呼ばれます。ウィキメディア財団の運営するウィキでは、この問題が公にされてから数時間のあいだ、この脆弱性による攻撃が可能な状態にありました。現在のところ、システムあるいは利用者の個人情報が実際に漏洩した形跡は確認されていません。また、財団のサーバーの設定および構成上、この脆弱性を利用して、利用者のウィキ上のパスワードを集めることは困難であるものと考えられます。

財団では、この問題の認識後すぐ、システム上で稼働している問題のソフトウェアを修正しました。その後、利用者との通信に使われていたSSL証明書を変更し、すべての利用者のログイン状態を解除しました。詳細な対応の時系列は後述します。

ログインしているすべての利用者は、サイトに接続するとき、暗号化されたセッション・トークンというものを送ります。Heartbleedという問題を悪用して、そのセッション・トークンが傍受されてしまうと、その利用者になりすますことが可能になってしまいます。ログイン状態を解除すると、セッション・トークンは再設定されることになり、問題の修正されたソフトウェアによって通信することが保証され、リスクを取り除くことができます。

用心のため、パスワードの変更をお勧めいたしますが、全利用者のパスワードを強制的に変更する予定はありません。ウィキメディア財団の利用者がこの脆弱性による攻撃に晒された形跡はありませんが、財団では、利用者のみなさまの安全のために最善を尽くす所存です。

ご理解に感謝いたします。

Greg Grossmeier、ウィキメディア財団コンピューターシステム運営ティーム

ウィキメディア財団による対応の時系列

(時刻���すべてUTCです)

4月7日:

4月8日:

4月9日:

4月10日:

よくある質問

(必要に応じて加筆されます)

  • SSL証明書を変えたのに、なぜ「有効日」は変わっていないのですか?
    財団で利用しているSSL証明書発行所では、証明書を交換した場合でも「有効日」はそのままになっています(よく誤解されますが、これは「発行日」ではありません)。これはあまり一般的なこととは言えません。上記時系列に示した.pemファイルの変更のほかに、証明書の更新が行われたか確認する方法としては、更新の前と後の証明書のフィンガープリントを比較する方法があります。