【自分にも関係あるの？！】OpenSSLのHeartbleed脆弱性について

1週間ほど前の話になりますが、世界中で使われているオープンソースのSSL/TLS実装「OpenSSL」に脆弱性が見つかったことが大々的なニュースになりました。

Internet Watch
「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性

SSLというのは、インターネットなどのネットワークでデータを暗号化して送受信するプロトコル（規約）の1つです。
Webサイトで個人情報などを入力するときに使われている技術です。

分かりやすいのは、ブラウザのURLを入力する欄に「https」と入力するページです。通常の「http」は対象外です。
そしてそのSSLのオープンソースのライブラリがOpen SSLと言われるものです。

それで話題になっているHeartbleedのどこが問題なのかというと、データを秘密にするはずの技術にバグがあって、銀行サイトなどで使っているパスワードが盗み見られてしまう可能性がある、ということです。

銀行サイトのパスワードが盗み見られてしまったら、不正送金されたり口座の金を悪用される可能性があります。
これはやばいですよね。

このHeartbleed脆弱性については、多くのサイトでも注意を呼びかけています。

独立行政法人　情報処理推進機構
更新：OpenSSL の脆弱性対策について(CVE-2014-0160)

ウェブサイトで OpenSSL を利用している場合、秘密鍵が既に漏えいしている可能性があります。ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定してください。証明書の失効・再発行等の手続きは、各認証局へ確認ください。

IT PRO by日経コンピュータ
OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ

実は、OpenSSLはWebサイト以外にも、安全に通信をしたいところで利用されている。例えば企業などで安全にデータを送受信するためのVPN（仮想閉域網）ではSSLが通信の暗号化のために使用されている。スマホのアプリにもOpenSSLを利用してサービスサイトとのやり取りをしているものがある。バックエンドでサービスを支えているサイトは、一般にはhttpsで公開してなくてもSSLで通信している場合があるため、影響を受ける危険性は十分にある。

IT PRO by 日経コンピュータ
OpenSSLの「心臓出血」はクライアントにも影響、サーバーに情報を盗まれる

このためシマンテックでは、（1）不明なドメインにはアクセスしない、（2）パッチが適用されていないプロキシサービスは使用しない、（3）自分が利用しているソフトウエアのパッチが公開されたらすぐに適用する、（4）公共のネットワークでは、脆弱ではないことが確認されているVPNクライアントやサービスを使用する、といったことを推奨している。

ITmediaエンタープライズ
OpenSSLの脆弱性問題には冷静な対応を

Webサイト側では修正版のOpenSSL 1.0.1gへの更新が適切な対応策とされるが、更新にはシステム停止を伴うケースもあり、すぐに対応できない場合もある。こうしたWebサイト管理者に対し、セキュリティ各社では脆弱性攻撃をネットワークレベルで遮断する「仮想パッチ」やIPS／IDS（不正侵入検知／防御システム）などの対策を活用して、OpenSSL 1.0.1gへの更新対応を呼び掛ける。

ブロガーであり実業家の山本一郎さんもHeartbleedについて投稿していました。

Yahooニュース（山本一郎）
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません

IT系じゃないけどちょっとネット系の記事は見てたりする友人に「Heartbleedがどれくらいやばいか」って聞かれたから、「ATMとクレカの暗証番号をでかでかと印刷したTシャツで渋谷歩いてるくらいやばい」って言ったら伝わった

テクニカルな内容はいまいちよく分かりませんが、この表現は危険性がとてもよく分かりますね。

このHeartbleed脆弱性、ユーザーとしてできる対応は今のところないようです。
（パスワードを変更するということが対策として言われていますが、それは盗まれたパスワードを悪用される二次被害を防ぐ方法で、脆弱性に対応する方法はユーザー側にはないとのこと。）

この脆弱性に対応するには、サーバ管理者などのエンジニアが、対象のサーバのOpenSSLをアップデートをする（パッチをあてる）か、OpenSSLを使わないようにする、とのこと。
普通に考えればアップデートをすることになりそうです。

SSLは「秘密鍵」という物を使って秘密データを通信するのですが、これまで対象のOpenSSLを使用してきた場合には、秘密鍵そのものを交換する必要があるとのことです。自分も秘密鍵の交換をしたことがありますが、これはちょっと手がかかりますね。
（今回は自分が関係しているサイトには該当していませんでした。）

自分がユーザーとして閲覧するWebサイトがHeartbleed脆弱性に対応しているかどうか確認するにはどうしたらいいの？という場合。
そのような場合にはチェックツールで確認ができます。

QUALYS SSL LABS
SSL Server Test

Test your servert for Heartbleed
Heartbleed Test

ちなみにスマホでもHeartbleed脆弱性がある可能性があり、チェックツールが公開されています。

Google Play
Heartbleed Detector

もうすでに秘密情報が盗まれてしまっていたら・・・

このHeartbleed脆弱性、対応をしたとしてもすでに情報を盗まれてしまった場合、痕跡（ログ）が残らないということ。
実際に被害にあった際にも、どこで被害にあったのかを特定するのは非常に困難です。

今のところ日本国内での被害は報告されていませんが、WEBでよく買い物をする方は、クレジットカードや銀行の口座を確認した方がよさそうです。
しばらくは不安な日々が続きます・・。

追伸：
海外ではすでに実被害が出ています。カナダの政府機関・歳入庁で、納税者約９００人の社会保障番号が何者かに削除されたとのこと。
Heartbleedで初の被害とのことです。

WIRED
「Heartbleed」悪用で初の逮捕者：カナダ当局発表

国内での対応も急がれますが、くれぐれも銀行からのメールでフィッシング詐欺には気を付けてください。
「パスワードを変えてください」という偽メールにひっかかったら、それこそ元も子もありませんので！