*

【自分にも関係あるの?!】OpenSSLのHeartbleed脆弱性について

公開日: : 最終更新日:2014/07/09 テクノロジー, 話題 , , ,

Security agency aware of Heartbleed bug day before CRA website shutdown

1週間ほど前の話になりますが、世界中で使われているオープンソースのSSL/TLS実装「OpenSSL」に脆弱性が見つかったことが大々的なニュースになりました。

Internet Watch
「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性

SSLというのは、インターネットなどのネットワークでデータを暗号化して送受信するプロトコル(規約)の1つです。
Webサイトで個人情報などを入力するときに使われている技術です。

分かりやすいのは、ブラウザのURLを入力する欄に「https」と入力するページです。通常の「http」は対象外です。
そしてそのSSLのオープンソースのライブラリがOpen SSLと言われるものです。

それで話題になっているHeartbleedのどこが問題なのかというと、データを秘密にするはずの技術にバグがあって、銀行サイトなどで使っているパスワードが盗み見られてしまう可能性がある、ということです。

銀行サイトのパスワードが盗み見られてしまったら、不正送金されたり口座の金を悪用される可能性があります。
これはやばいですよね。

このHeartbleed脆弱性については、多くのサイトでも注意を呼びかけています。

独立行政法人 情報処理推進機構
更新:OpenSSL の脆弱性対策について(CVE-2014-0160)

ウェブサイトで OpenSSL を利用している場合、秘密鍵が既に漏えいしている可能性があります。ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定してください。証明書の失効・再発行等の手続きは、各認証局へ確認ください。

IT PRO by日経コンピュータ
OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ

実は、OpenSSLはWebサイト以外にも、安全に通信をしたいところで利用されている。例えば企業などで安全にデータを送受信するためのVPN(仮想閉域網)ではSSLが通信の暗号化のために使用されている。スマホのアプリにもOpenSSLを利用してサービスサイトとのやり取りをしているものがある。バックエンドでサービスを支えているサイトは、一般にはhttpsで公開してなくてもSSLで通信している場合があるため、影響を受ける危険性は十分にある。

IT PRO by 日経コンピュータ
OpenSSLの「心臓出血」はクライアントにも影響、サーバーに情報を盗まれる

このためシマンテックでは、(1)不明なドメインにはアクセスしない、(2)パッチが適用されていないプロキシサービスは使用しない、(3)自分が利用しているソフトウエアのパッチが公開されたらすぐに適用する、(4)公共のネットワークでは、脆弱ではないことが確認されているVPNクライアントやサービスを使用する、といったことを推奨している。

ITmediaエンタープライズ
OpenSSLの脆弱性問題には冷静な対応を

Webサイト側では修正版のOpenSSL 1.0.1gへの更新が適切な対応策とされるが、更新にはシステム停止を伴うケースもあり、すぐに対応できない場合もある。こうしたWebサイト管理者に対し、セキュリティ各社では脆弱性攻撃をネットワークレベルで遮断する「仮想パッチ」やIPS/IDS(不正侵入検知/防御システム)などの対策を活用して、OpenSSL 1.0.1gへの更新対応を呼び掛ける。

ブロガーであり実業家の山本一郎さんもHeartbleedについて投稿していました。

Yahooニュース(山本一郎)
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません

IT系じゃないけどちょっとネット系の記事は見てたりする友人に「Heartbleedがどれくらいやばいか」って聞かれたから、「ATMとクレカの暗証番号をでかでかと印刷したTシャツで渋谷歩いてるくらいやばい」って言ったら伝わった

テクニカルな内容はいまいちよく分かりませんが、この表現は危険性がとてもよく分かりますね。

このHeartbleed脆弱性、ユーザーとしてできる対応は今のところないようです。
(パスワードを変更するということが対策として言われていますが、それは盗まれたパスワードを悪用される二次被害を防ぐ方法で、脆弱性に対応する方法はユーザー側にはないとのこと。)

この脆弱性に対応するには、サーバ管理者などのエンジニアが、対象のサーバのOpenSSLをアップデートをする(パッチをあてる)か、OpenSSLを使わないようにする、とのこと。
普通に考えればアップデートをすることになりそうです。

SSLは「秘密鍵」という物を使って秘密データを通信するのですが、これまで対象のOpenSSLを使用してきた場合には、秘密鍵そのものを交換する必要があるとのことです。自分も秘密鍵の交換をしたことがありますが、これはちょっと手がかかりますね。
(今回は自分が関係しているサイトには該当していませんでした。)

自分がユーザーとして閲覧するWebサイトがHeartbleed脆弱性に対応しているかどうか確認するにはどうしたらいいの?という場合。
そのような場合にはチェックツールで確認ができます。

QUALYS SSL LABS
SSL Server Test

Test your servert for Heartbleed
Heartbleed Test

ちなみにスマホでもHeartbleed脆弱性がある可能性があり、チェックツールが公開されています。

Google Play
Heartbleed Detector

 

もうすでに秘密情報が盗まれてしまっていたら・・・

このHeartbleed脆弱性、対応をしたとしてもすでに情報を盗まれてしまった場合、痕跡(ログ)が残らないということ。
実際に被害にあった際にも、どこで被害にあったのかを特定するのは非常に困難です。

今のところ日本国内での被害は報告されていませんが、WEBでよく買い物をする方は、クレジットカードや銀行の口座を確認した方がよさそうです。
しばらくは不安な日々が続きます・・。

 

追伸:
海外ではすでに実被害が出ています。カナダの政府機関・歳入庁で、納税者約900人の社会保障番号が何者かに削除されたとのこと。
Heartbleedで初の被害とのことです。

WIRED
「Heartbleed」悪用で初の逮捕者:カナダ当局発表

国内での対応も急がれますが、くれぐれも銀行からのメールでフィッシング詐欺には気を付けてください。
「パスワードを変えてください」という偽メールにひっかかったら、それこそ元も子もありませんので!

Google AD


Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

WP-SpamFree by Pole Position Marketing

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

no image

「おっ」思ったWEBデザイン

ちょっと調べることがあったのでメモ。■株式会社テトラシーンhttp://www.tetratone.

記事を読む

Google検索結果ページに大きな変更があったよ!

いつものようにブラウザ(自分の場合はChrome)を立ち上げて、ニュースを確認。 そのあと

記事を読む

Nexus5の魅力を5つ挙げてみました

いまだにiphone4を持つ自分としては、やはり新しいスマホが欲しいわけですが、今さらiph

記事を読む

AppleのWWDC2014が行なわれたので、自分なりに内容をまとめてみました

Appleの開発者向けイベントWWDCが行なわれましたね。 頑張って起きてようと思いました

記事を読む

no image

キャプチャソフト

capture STAFF lite 何かいいキャプチャソフトないか?と探したところ出てきたソフト

記事を読む

no image

「おっ」と思った記事

前回に引き続き、「おっ」と思ったサイトを紹介します。今回はデザインうんぬんでなく、コンテンツの方で。

記事を読む

GoogleがDEEPMINDを買収したことと人間の未来についての感想

スマートコンタクトレンズ開発を発表したりして何かと話題のGoogleさんから、また企業を買収

記事を読む

no image

iPadでGoogleカレンダー同期(複数の) « recotana

iPadでGoogleカレンダー同期(複数の) « recotanaずっとGoogleカレンダーの複

記事を読む

ロリポップ

ロリポップからさくらインターネットにレンタルサーバを変更しました

前のエントリーで少し書きましたが、ロリポップを解約しました。 契約開始から3年と半年、本当

記事を読む

ゲッコー・アンド・カンパニーでGoogleGlassの予約販売開始されたよ

まだ正月気分が抜けない昨日1月6日、ゲッコー・アンド・カンパニー社でGoogle Glass

記事を読む

Google AD

Google AD

iPhone6が来ました。アップルのサポートは未だ健在だったというお話。

アップルは製品だけじゃなくて、サポートの対応にまでその企業哲学

iphone6にするか、iphone6plusにするか、まだ決めなくてもいい方法

iphone6が発表されましたね。iwatchは来年に持越しで

パパも2歳になったよ

早いもので子供が2歳になりました。 年を取るごとに年月が早く

転職して新しい職場で仕事始めました

1か月以上もブログを放置してましたが、私は元気です。 むしろ

6月末で現職を退職します

ご存知の方もいらっしゃると思いますが、6月末で現職を退職するこ

→もっと見る

PAGE TOP ↑