*

【自分にも関係あるの?!】OpenSSLのHeartbleed脆弱性について

公開日: : 最終更新日:2014/07/09 テクノロジー, 話題 , , ,

Security agency aware of Heartbleed bug day before CRA website shutdown

1週間ほど前の話になりますが、世界中で使われているオープンソースのSSL/TLS実装「OpenSSL」に脆弱性が見つかったことが大々的なニュースになりました。

Internet Watch
「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性

SSLというのは、インターネットなどのネットワークでデータを暗号化して送受信するプロトコル(規約)の1つです。
Webサイトで個人情報などを入力するときに使われている技術です。

分かりやすいのは、ブラウザのURLを入力する欄に「https」と入力するページです。通常の「http」は対象外です。
そしてそのSSLのオープンソースのライブラリがOpen SSLと言われるものです。

それで話題になっているHeartbleedのどこが問題なのかというと、データを秘密にするはずの技術にバグがあって、銀行サイトなどで使っているパスワードが盗み見られてしまう可能性がある、ということです。

銀行サイトのパスワードが盗み見られてしまったら、不正送金されたり口座の金を悪用される可能性があります。
これはやばいですよね。

このHeartbleed脆弱性については、多くのサイトでも注意を呼びかけています。

独立行政法人 情報処理推進機構
更新:OpenSSL の脆弱性対策について(CVE-2014-0160)

ウェブサイトで OpenSSL を利用している場合、秘密鍵が既に漏えいしている可能性があります。ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定してください。証明書の失効・再発行等の手続きは、各認証局へ確認ください。

IT PRO by日経コンピュータ
OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ

実は、OpenSSLはWebサイト以外にも、安全に通信をしたいところで利用されている。例えば企業などで安全にデータを送受信するためのVPN(仮想閉域網)ではSSLが通信の暗号化のために使用されている。スマホのアプリにもOpenSSLを利用してサービスサイトとのやり取りをしているものがある。バックエンドでサービスを支えているサイトは、一般にはhttpsで公開してなくてもSSLで通信している場合があるため、影響を受ける危険性は十分にある。

IT PRO by 日経コンピュータ
OpenSSLの「心臓出血」はクライアントにも影響、サーバーに情報を盗まれる

このためシマンテックでは、(1)不明なドメインにはアクセスしない、(2)パッチが適用されていないプロキシサービスは使用しない、(3)自分が利用しているソフトウエアのパッチが公開されたらすぐに適用する、(4)公共のネットワークでは、脆弱ではないことが確認されているVPNクライアントやサービスを使用する、といったことを推奨している。

ITmediaエンタープライズ
OpenSSLの脆弱性問題には冷静な対応を

Webサイト側では修正版のOpenSSL 1.0.1gへの更新が適切な対応策とされるが、更新にはシステム停止を伴うケースもあり、すぐに対応できない場合もある。こうしたWebサイト管理者に対し、セキュリティ各社では脆弱性攻撃をネットワークレベルで遮断する「仮想パッチ」やIPS/IDS(不正侵入検知/防御システム)などの対策を活用して、OpenSSL 1.0.1gへの更新対応を呼び掛ける。

ブロガーであり実業家の山本一郎さんもHeartbleedについて投稿していました。

Yahooニュース(山本一郎)
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません

IT系じゃないけどちょっとネット系の記事は見てたりする友人に「Heartbleedがどれくらいやばいか」って聞かれたから、「ATMとクレカの暗証番号をでかでかと印刷したTシャツで渋谷歩いてるくらいやばい」って言ったら伝わった

テクニカルな内容はいまいちよく分かりませんが、この表現は危険性がとてもよく分かりますね。

このHeartbleed脆弱性、ユーザーとしてできる対応は今のところないようです。
(パスワードを変更するということが対策として言われていますが、それは盗まれたパスワードを悪用される二次被害を防ぐ方法で、脆弱性に対応する方法はユーザー側にはないとのこと。)

この脆弱性に対応するには、サーバ管理者などのエンジニアが、対象のサーバのOpenSSLをアップデートをする(パッチをあてる)か、OpenSSLを使わないようにする、とのこと。
普通に考えればアップデートをすることになりそうです。

SSLは「秘密鍵」という物を使って秘密データを通信するのですが、これまで対象のOpenSSLを使用してきた場合には、秘密鍵そのものを交換する必要があるとのことです。自分も秘密鍵の交換をしたことがありますが、これはちょっと手がかかりますね。
(今回は自分が関係しているサイトには該当していませんでした。)

自分がユーザーとして閲覧するWebサイトがHeartbleed脆弱性に対応しているかどうか確認するにはどうしたらいいの?という場合。
そのような場合にはチェックツールで確認ができます。

QUALYS SSL LABS
SSL Server Test

Test your servert for Heartbleed
Heartbleed Test

ちなみにスマホでもHeartbleed脆弱性がある可能性があり、チェックツールが公開されています。

Google Play
Heartbleed Detector

 

もうすでに秘密情報が盗まれてしまっていたら・・・

このHeartbleed脆弱性、対応をしたとしてもすでに情報を盗まれてしまった場合、痕跡(ログ)が残らないということ。
実際に被害にあった際にも、どこで被害にあったのかを特定するのは非常に困難です。

今のところ日本国内での被害は報告されていませんが、WEBでよく買い物をする方は、クレジットカードや銀行の口座を確認した方がよさそうです。
しばらくは不安な日々が続きます・・。

 

追伸:
海外ではすでに実被害が出ています。カナダの政府機関・歳入庁で、納税者約900人の社会保障番号が何者かに削除されたとのこと。
Heartbleedで初の被害とのことです。

WIRED
「Heartbleed」悪用で初の逮捕者:カナダ当局発表

国内での対応も急がれますが、くれぐれも銀行からのメールでフィッシング詐欺には気を付けてください。
「パスワードを変えてください」という偽メールにひっかかったら、それこそ元も子もありませんので!

Google AD


Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

WP-SpamFree by Pole Position Marketing

関連記事

iphone tracker

http://japan.internet.com/allnet/20110427/1.html先日

記事を読む

Nexus5の魅力を5つ挙げてみました

いまだにiphone4を持つ自分としては、やはり新しいスマホが欲しいわけですが、今さらiph

記事を読む

no image

ニュータイプ理論/のーみそでSLアバターを動かすby牛場潤一専任講師@慶應大 – 仕事用のめもとか。

ニュータイプ理論ですね。わかります。/のーみそでSLアバターを動かすby牛場潤一専任講師@慶應大 -

記事を読む

no image

オラクル、「OpenOffice.org」コードの寄贈を表明 – CNET Japan

オラクル、「OpenOffice.org」コードの寄贈を表明 - CNET Japanオープンの流れ

記事を読む

サッカーW杯に見る「米櫃に砂」

サッカーW杯初戦・・・残念でしたね。 本田が先制点を決めた時には勝った!と思ってたのですが

記事を読む

docomoからipad air発売!果たして?

昨日、docomoからipadが発売されるという発表がありました。 ipadご予約方法

記事を読む

【GoogleGlass】ibeaconでO2Oはどうなるか?【iWatch】

パソコン遠隔操作事件の行方は密かに気になっていたのですが、まさかの被告が真犯人だったというニ

記事を読む

ジムロジャーズが語るこれからの日本経済について

現代ビジネスに「世界一の投資家」と言われるジム・ロジャースの記事が掲載されていました。 非

記事を読む

no image

やっぱiphoneはすごかった

  いろいろ迷って2台持ちを決意。iphone1台にすると、データ通信量がハンパない

記事を読む

アンドロイドは電気羊の夢を見るか?

イケダハヤトさんと言えば、「ブログ」「炎上」というキーワードが思いつきますが、興味・関心とい

記事を読む

Google AD

Google AD

iPhone6が来ました。アップルのサポートは未だ健在だったというお話。

アップルは製品だけじゃなくて、サポートの対応にまでその企業哲学

iphone6にするか、iphone6plusにするか、まだ決めなくてもいい方法

iphone6が発表されましたね。iwatchは来年に持越しで

パパも2歳になったよ

早いもので子供が2歳になりました。 年を取るごとに年月が早く

転職して新しい職場で仕事始めました

1か月以上もブログを放置してましたが、私は元気です。 むしろ

6月末で現職を退職します

ご存知の方もいらっしゃると思いますが、6月末で現職を退職するこ

→もっと見る

PAGE TOP ↑