Heartbleed脆弱性(CVE-2014-0160)とは?OpenSSLの問題点と対応手順
ページ更新日:2026/04/29
Heartbleed脆弱性とは
Heartbleed(ハートブリード)は2014年4月に公表されたOpenSSLのメモリ読み取りバグ(CVE-2014-0160)です。
OpenSSLの「Heartbeat(ハートビート)拡張」の実装に誤りがあり、攻撃者がサーバーのメモリを最大64KB単位で繰り返し読み取ることができました。
漏洩する可能性があったデータには秘密鍵・セッションIDやCookieの値・ユーザーのパスワードなどが含まれます。
影響を受けるOpenSSLバージョン
| バージョン | 影響 |
| OpenSSL 1.0.1 ~ 1.0.1f | 脆弱性あり(要バージョンアップ) |
| OpenSSL 1.0.2-beta ~ 1.0.2-beta1 | 脆弱性あり(要バージョンアップ) |
| OpenSSL 1.0.0系、0.9.8系 | 影響なし |
| IIS(Internet Information Services) | 影響なし(OpenSSLを使用しない) |
※ 現在のOpenSSLは1.1.1系・3.x系が主流となっており、これらは別の脆弱性への対応はありますがHeartbleedの影響は受けません。
対応手順
Step 1:OpenSSLをバージョンアップする
使用中のOpenSSLバージョンが脆弱性の影響を受けるバージョンの場合は、まずOpenSSLをバージョンアップします。
Linuxの場合はディストリビューションのパッケージマネージャーでアップデートします。
# バージョン確認 openssl version # Debian/Ubuntu apt-get update && apt-get install openssl # CentOS/RHEL yum update openssl
Step 2:新しい秘密鍵を生成してSSL証明書を再発行する
秘密鍵が漏洩した可能性があるため、既存の秘密鍵とは異なる新しいキーペアを作成してCSRを生成し、SSL証明書を再発行します。
再発行の手順は 再発行(reissue)のお手続きについて をご確認ください。
※ この対応により、仮に過去の秘密鍵が漏洩していたとしても、それ以降のSSL通信に新しい秘密鍵が使われるため安全になります。
Step 3:古いSSL証明書を失効(revoke)する
失効(revoke)のお手続き の手順に沿って、古いSSL証明書を失効させます。
失効により古い証明書のシリアルナンバーがCRL(失効リスト)に登録され、ブラウザがその証明書を無効と判断するようになります。
※ 漏洩した秘密鍵を使ったなりすまし証明書が作成されても、CRLによって無効化されます。
Step 4:(推奨)ユーザーへのパスワードリセット案内
サービス提供者の場合、ユーザーのセッションIDやパスワードが漏洩した可能性を考慮し、パスワードリセットやセッション無効化を行うことを推奨します。
現在のOpenSSL・TLSセキュリティ管理
Heartbleedのような重大な脆弱性への対応は、サーバー管理の日常的なメンテナンスの一部です。
以下を定期的に実施することで、新たな脆弱性への対応を迅速にできます。
- OSおよびOpenSSLのセキュリティアップデートを定期的に適用する
- Qualys SSL Labs などのツールでサーバー設定を定期確認する
- SSL証明書の有効期限を 更新通知 で管理する
📌 関連ページ:
POODLE脆弱性(SSL 3.0)への対応
再発行(reissue)のお手続きについて
失効(revoke)のお手続きについて