2014年4月14日月曜日

OpenSSLの脆弱性(通称 Heartbleedバグ)対応について

  • このエントリーをはてなブックマークに追加
インターネットの暗号化に広く使用されているオープンソースのライブラリである OpenSSL において脆弱性が発見されました。

この脆弱性を悪用された場合、暗号化に利用する秘密鍵の情報や通信内容を外部から取得出来てしまい、情報漏えいにつながる可能性があります。

参考情報:


チャットワークでの対応状況


チャットワークではこの情報が公にされた2014年4月8日より即座に影響範囲の確認を行い、すでに対応を完了しております。

今回の脆弱性の影響としては、チャットワークで利用している Amazon Web Services のロードバランサー(Elastic Load Balancing)に影響があることがわかったため、Amazon Web Services 社の担当エンジニアと緊密に連絡を取りながら対応を行ってまいりました。

チャットワークが利用している Amazon Web Services の東京リージョンでは脆弱性が公にされた当日の4月8日 17:30 ごろ、ロードバランサーへの脆弱性改修が行われたことを確認しております。

Amazon Web Services 社からの発表内容:
AWS から OpenSSL の脆弱性について AWS のサービスアップデート | アマゾン ウェブ サービス(AWS 日本語)

なお、チャットワークではすべてのWebサーバーがロードバランサーごしに配備されており、この脆弱性によりWebサーバー上のメモリ情報を直接奪取される危険性はございません。

現時点でこの脆弱性に関連すると思われる問題は確認できておりませんが、念のためチャットワークで利用するすべてのSSL証明書の再発行処理手続きを行い、すでに再設定を完了しております。

チャットワークでは、ユーザーのみなさまに安心してご利用いただけるよう、 引き続き安全性を高める努力を継続して行ってまいります。
  • このエントリーをはてなブックマークに追加

チャットワークご存知ですか?

チャットワークは、業務の効率化と会社の成長を目的とした、メール・電話・会議に代わるコミュニケーションツールです。

このブログでは、チャットワークの便利な使い方から、お得なキャンペーンやイベントまで、旬の情報を発信しています。

ChatWorkを試してみる