*

【自分にも関係あるの?!】OpenSSLのHeartbleed脆弱性について

公開日: : 最終更新日:2014/07/09 テクノロジー, 話題 , , ,

Security agency aware of Heartbleed bug day before CRA website shutdown

1週間ほど前の話になりますが、世界中で使われているオープンソースのSSL/TLS実装「OpenSSL」に脆弱性が見つかったことが大々的なニュースになりました。

Internet Watch
「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性

SSLというのは、インターネットなどのネットワークでデータを暗号化して送受信するプロトコル(規約)の1つです。
Webサイトで個人情報などを入力するときに使われている技術です。

分かりやすいのは、ブラウザのURLを入力する欄に「https」と入力するページです。通常の「http」は対象外です。
そしてそのSSLのオープンソースのライブラリがOpen SSLと言われるものです。

それで話題になっているHeartbleedのどこが問題なのかというと、データを秘密にするはずの技術にバグがあって、銀行サイトなどで使っているパスワードが盗み見られてしまう可能性がある、ということです。

銀行サイトのパスワードが盗み見られてしまったら、不正送金されたり口座の金を悪用される可能性があります。
これはやばいですよね。

このHeartbleed脆弱性については、多くのサイトでも注意を呼びかけています。

独立行政法人 情報処理推進機構
更新:OpenSSL の脆弱性対策について(CVE-2014-0160)

ウェブサイトで OpenSSL を利用している場合、秘密鍵が既に漏えいしている可能性があります。ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定してください。証明書の失効・再発行等の手続きは、各認証局へ確認ください。

IT PRO by日経コンピュータ
OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ

実は、OpenSSLはWebサイト以外にも、安全に通信をしたいところで利用されている。例えば企業などで安全にデータを送受信するためのVPN(仮想閉域網)ではSSLが通信の暗号化のために使用されている。スマホのアプリにもOpenSSLを利用してサービスサイトとのやり取りをしているものがある。バックエンドでサービスを支えているサイトは、一般にはhttpsで公開してなくてもSSLで通信している場合があるため、影響を受ける危険性は十分にある。

IT PRO by 日経コンピュータ
OpenSSLの「心臓出血」はクライアントにも影響、サーバーに情報を盗まれる

このためシマンテックでは、(1)不明なドメインにはアクセスしない、(2)パッチが適用されていないプロキシサービスは使用しない、(3)自分が利用しているソフトウエアのパッチが公開されたらすぐに適用する、(4)公共のネットワークでは、脆弱ではないことが確認されているVPNクライアントやサービスを使用する、といったことを推奨している。

ITmediaエンタープライズ
OpenSSLの脆弱性問題には冷静な対応を

Webサイト側では修正版のOpenSSL 1.0.1gへの更新が適切な対応策とされるが、更新にはシステム停止を伴うケースもあり、すぐに対応できない場合もある。こうしたWebサイト管理者に対し、セキュリティ各社では脆弱性攻撃をネットワークレベルで遮断する「仮想パッチ」やIPS/IDS(不正侵入検知/防御システム)などの対策を活用して、OpenSSL 1.0.1gへの更新対応を呼び掛ける。

ブロガーであり実業家の山本一郎さんもHeartbleedについて投稿していました。

Yahooニュース(山本一郎)
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません

IT系じゃないけどちょっとネット系の記事は見てたりする友人に「Heartbleedがどれくらいやばいか」って聞かれたから、「ATMとクレカの暗証番号をでかでかと印刷したTシャツで渋谷歩いてるくらいやばい」って言ったら伝わった

テクニカルな内容はいまいちよく分かりませんが、この表現は危険性がとてもよく分かりますね。

このHeartbleed脆弱性、ユーザーとしてできる対応は今のところないようです。
(パスワードを変更するということが対策として言われていますが、それは盗まれたパスワードを悪用される二次被害を防ぐ方法で、脆弱性に対応する方法はユーザー側にはないとのこと。)

この脆弱性に対応するには、サーバ管理者などのエンジニアが、対象のサーバのOpenSSLをアップデートをする(パッチをあてる)か、OpenSSLを使わないようにする、とのこと。
普通に考えればアップデートをすることになりそうです。

SSLは「秘密鍵」という物を使って秘密データを通信するのですが、これまで対象のOpenSSLを使用してきた場合には、秘密鍵そのものを交換する必要があるとのことです。自分も秘密鍵の交換をしたことがありますが、これはちょっと手がかかりますね。
(今回は自分が関係しているサイトには該当していませんでした。)

自分がユーザーとして閲覧するWebサイトがHeartbleed脆弱性に対応しているかどうか確認するにはどうしたらいいの?という場合。
そのような場合にはチェックツールで確認ができます。

QUALYS SSL LABS
SSL Server Test

Test your servert for Heartbleed
Heartbleed Test

ちなみにスマホでもHeartbleed脆弱性がある可能性があり、チェックツールが公開されています。

Google Play
Heartbleed Detector

 

もうすでに秘密情報が盗まれてしまっていたら・・・

このHeartbleed脆弱性、対応をしたとしてもすでに情報を盗まれてしまった場合、痕跡(ログ)が残らないということ。
実際に被害にあった際にも、どこで被害にあったのかを特定するのは非常に困難です。

今のところ日本国内での被害は報告されていませんが、WEBでよく買い物をする方は、クレジットカードや銀行の口座を確認した方がよさそうです。
しばらくは不安な日々が続きます・・。

 

追伸:
海外ではすでに実被害が出ています。カナダの政府機関・歳入庁で、納税者約900人の社会保障番号が何者かに削除されたとのこと。
Heartbleedで初の被害とのことです。

WIRED
「Heartbleed」悪用で初の逮捕者:カナダ当局発表

国内での対応も急がれますが、くれぐれも銀行からのメールでフィッシング詐欺には気を付けてください。
「パスワードを変えてください」という偽メールにひっかかったら、それこそ元も子もありませんので!

Google AD


Message

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

This site uses Akismet to reduce spam. Learn how your comment data is processed.

関連記事

no image

サスティナビリティについて

最近この言葉をよく聞くようになりました。sustain+able 持続可能性と訳されていて、続けてい

記事を読む

トゥームレイダーをやってみたい

control a conputer with only your brain tombraid

記事を読む

堀江貴文

番組「ナイナイアンサー」でホリエモンが泣いてて思った

日本テレビで「解決!ナイナイアンサー」という番組がやってたので見ました。今回の目玉はあのホリ

記事を読む

経営者に学ぶ、ネガティブ発言から見える哲学を読み解く

理研・小保方さんのSTAP細胞の論文の行方が気になります。どうなるのでしょうか。 しかし一

記事を読む

人の感覚器と脳の未来について

電子書籍を読んでいても、なかなか内容が頭に入ってこないことがよくある。これは感覚を使わないこ

記事を読む

キャプチャソフト

capture STAFF lite 何かいいキャプチャソフトないか?と探したところ出てきたソフト。

記事を読む

no image

ダイバーシティを考える

ダイバーシティを知ったのは2009年ごろ、「バイオダイバーシティ(生物多様性)」が国連大学ででかでか

記事を読む

【GoogleGlass】ibeaconでO2Oはどうなるか?【iWatch】

パソコン遠隔操作事件の行方は密かに気になっていたのですが、まさかの被告が真犯人だったというニ

記事を読む

サッカーW杯に見る「米櫃に砂」

サッカーW杯初戦・・・残念でしたね。 本田が先制点を決めた時には勝った!と思ってたのですが、後半

記事を読む

ゲッコー・アンド・カンパニーでGoogleGlassの予約販売開始されたよ

まだ正月気分が抜けない昨日1月6日、ゲッコー・アンド・カンパニー社でGoogle Glass

記事を読む

Google AD

Google AD

PAGE TOP ↑