ウィキメディア・ブログ/下書き/Heartbleed

4月7日、インターネット上のセキュリティの中心的要素であるOpenSSLに、広範な影響をもたらす問題があることが分りました。この脆弱性は全ウィキメディアのウィキで修正済みです。アカウントを作らずにウィキペディアを読んでいるだけの方は、なにも対処する必要はありません。ウィキメディアのウィキでアカウントを持っている方は、次回アカウントを使う際に再ログインが必要です。

このOpenSSLの特定のバージョンには、制限された情報が読み取られる脆弱性があり、それを使っているどんなウェブサイトでも攻撃が可能となってしまっています。この問題は、Heartbeat(心拍の意)という機能のバグから来ているため、Heartbleed(心臓出血の意)と呼ばれます。ウィキメディア財団の運営するウィキでは、この問題が公にされてから数時間のあいだ、この脆弱性による攻撃が可能な状態にありました。現在のところ、システムあるいは利用者の個人情報が実際に漏洩した形跡は確認されていません。また、財団のサーバーの設定および構成上、この脆弱性を利用して、利用者のウィキ上のパスワードを集めることは困難であるものと考えられます。

財団では、この問題の認識後すぐ、システム上で稼働している問題のソフトウェアを修正しました。その後、利用者との通信に使われていたSSL証明書を変更し、すべての利用者のログイン状態を解除しました。詳細な対応の時系列は後述します。

ログインしているすべての利用者は、サイトに接続するとき、暗号化されたセッション・トークンというものを送ります。Heartbleedという問題を悪用して、そのセッション・トークンが傍受されてしまうと、その利用者になりすますことが可能になってしまいます。ログイン状態を解除すると、セッション・トークンは再設定されることになり、問題の修正されたソフトウェアによって通信することが保証され、リスクを取り除くことができます。

用心のため、パスワードの変更をお勧めいたしますが、全利用者のパスワードを強制的に変更する予定はありません。ウィキメディア財団の利用者がこの脆弱性による攻撃に晒された形跡はありませんが、財団では、利用者のみなさまの安全のために最善を尽くす所存です。

ご理解に感謝いたします。

Greg Grossmeier、ウィキメディア財団コンピューターシステム運営ティーム

（時刻はすべてUTCです）

4月7日：

• 17:30: Heartbleedというバグが周知される
• 21:48: Ubuntuが問題のソフトウェアの修正版を公開

4月8日：

• 04:03: 優先度の高いサーバーから、財団の全サーバーのlibsslの更新を開始
• 09:08: SSL証明書の交換を開始
• 13:09: WMFツールサーバーのlibsslを更新
• 13:46: 公開された全サーバーのlibsslの更新完了
• 16:45: 利用者の接続する全ウィキメディアのウィキのSSLサーバーにあたらしい証明書を設置完了
• 23:08: 利用者のログイントークンをリセット (利用者に再ログインをさせ、あたらしいlibsslと証明書を利用)

4月9日：

• 13:54: ticket.wikimedia.orgのSSL証明書を交換 (最後)
• 16:44: OTRS利用者にパスワードを変更するようメールを送信
• 22:33: Bugzilla利用者をすべてログアウト状態に

4月10日：

• 08:42: Bugzillaのログイントークンを再設定

(必要に応じて加筆されます)

• SSL証明書を変えたのに、なぜ「有効日」は変わっていないのですか?

  財団で利用しているSSL証明書発行所では、証明書を交換した場合でも「有効日」はそのままになっています(よく誤解されますが、これは「発行日」ではありません)。これはそれほど珍しいことではありません。上記時系列に示した.pemファイルの変更のほかに、証明書の更新が行われたか確認する方法としては、更新の前と後の証明書のフィンガープリントを比較する方法があります。