*

【自分にも関係あるの?!】OpenSSLのHeartbleed脆弱性について

公開日: : 最終更新日:2014/07/09 テクノロジー, 話題 , , ,

Security agency aware of Heartbleed bug day before CRA website shutdown

1週間ほど前の話になりますが、世界中で使われているオープンソースのSSL/TLS実装「OpenSSL」に脆弱性が見つかったことが大々的なニュースになりました。

Internet Watch
「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性

SSLというのは、インターネットなどのネットワークでデータを暗号化して送受信するプロトコル(規約)の1つです。
Webサイトで個人情報などを入力するときに使われている技術です。

分かりやすいのは、ブラウザのURLを入力する欄に「https」と入力するページです。通常の「http」は対象外です。
そしてそのSSLのオープンソースのライブラリがOpen SSLと言われるものです。

それで話題になっているHeartbleedのどこが問題なのかというと、データを秘密にするはずの技術にバグがあって、銀行サイトなどで使っているパスワードが盗み見られてしまう可能性がある、ということです。

銀行サイトのパスワードが盗み見られてしまったら、不正送金されたり口座の金を悪用される可能性があります。
これはやばいですよね。

このHeartbleed脆弱性については、多くのサイトでも注意を呼びかけています。

独立行政法人 情報処理推進機構
更新:OpenSSL の脆弱性対策について(CVE-2014-0160)

ウェブサイトで OpenSSL を利用している場合、秘密鍵が既に漏えいしている可能性があります。ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定してください。証明書の失効・再発行等の手続きは、各認証局へ確認ください。

IT PRO by日経コンピュータ
OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ

実は、OpenSSLはWebサイト以外にも、安全に通信をしたいところで利用されている。例えば企業などで安全にデータを送受信するためのVPN(仮想閉域網)ではSSLが通信の暗号化のために使用されている。スマホのアプリにもOpenSSLを利用してサービスサイトとのやり取りをしているものがある。バックエンドでサービスを支えているサイトは、一般にはhttpsで公開してなくてもSSLで通信している場合があるため、影響を受ける危険性は十分にある。

IT PRO by 日経コンピュータ
OpenSSLの「心臓出血」はクライアントにも影響、サーバーに情報を盗まれる

このためシマンテックでは、(1)不明なドメインにはアクセスしない、(2)パッチが適用されていないプロキシサービスは使用しない、(3)自分が利用しているソフトウエアのパッチが公開されたらすぐに適用する、(4)公共のネットワークでは、脆弱ではないことが確認されているVPNクライアントやサービスを使用する、といったことを推奨している。

ITmediaエンタープライズ
OpenSSLの脆弱性問題には冷静な対応を

Webサイト側では修正版のOpenSSL 1.0.1gへの更新が適切な対応策とされるが、更新にはシステム停止を伴うケースもあり、すぐに対応できない場合もある。こうしたWebサイト管理者に対し、セキュリティ各社では脆弱性攻撃をネットワークレベルで遮断する「仮想パッチ」やIPS/IDS(不正侵入検知/防御システム)などの対策を活用して、OpenSSL 1.0.1gへの更新対応を呼び掛ける。

ブロガーであり実業家の山本一郎さんもHeartbleedについて投稿していました。

Yahooニュース(山本一郎)
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません

IT系じゃないけどちょっとネット系の記事は見てたりする友人に「Heartbleedがどれくらいやばいか」って聞かれたから、「ATMとクレカの暗証番号をでかでかと印刷したTシャツで渋谷歩いてるくらいやばい」って言ったら伝わった

テクニカルな内容はいまいちよく分かりませんが、この表現は危険性がとてもよく分かりますね。

このHeartbleed脆弱性、ユーザーとしてできる対応は今のところないようです。
(パスワードを変更するということが対策として言われていますが、それは盗まれたパスワードを悪用される二次被害を防ぐ方法で、脆弱性に対応する方法はユーザー側にはないとのこと。)

この脆弱性に対応するには、サーバ管理者などのエンジニアが、対象のサーバのOpenSSLをアップデートをする(パッチをあてる)か、OpenSSLを使わないようにする、とのこと。
普通に考えればアップデートをすることになりそうです。

SSLは「秘密鍵」という物を使って秘密データを通信するのですが、これまで対象のOpenSSLを使用してきた場合には、秘密鍵そのものを交換する必要があるとのことです。自分も秘密鍵の交換をしたことがありますが、これはちょっと手がかかりますね。
(今回は自分が関係しているサイトには該当していませんでした。)

自分がユーザーとして閲覧するWebサイトがHeartbleed脆弱性に対応しているかどうか確認するにはどうしたらいいの?という場合。
そのような場合にはチェックツールで確認ができます。

QUALYS SSL LABS
SSL Server Test

Test your servert for Heartbleed
Heartbleed Test

ちなみにスマホでもHeartbleed脆弱性がある可能性があり、チェックツールが公開されています。

Google Play
Heartbleed Detector

 

もうすでに秘密情報が盗まれてしまっていたら・・・

このHeartbleed脆弱性、対応をしたとしてもすでに情報を盗まれてしまった場合、痕跡(ログ)が残らないということ。
実際に被害にあった際にも、どこで被害にあったのかを特定するのは非常に困難です。

今のところ日本国内での被害は報告されていませんが、WEBでよく買い物をする方は、クレジットカードや銀行の口座を確認した方がよさそうです。
しばらくは不安な日々が続きます・・。

 

追伸:
海外ではすでに実被害が出ています。カナダの政府機関・歳入庁で、納税者約900人の社会保障番号が何者かに削除されたとのこと。
Heartbleedで初の被害とのことです。

WIRED
「Heartbleed」悪用で初の逮捕者:カナダ当局発表

国内での対応も急がれますが、くれぐれも銀行からのメールでフィッシング詐欺には気を付けてください。
「パスワードを変えてください」という偽メールにひっかかったら、それこそ元も子もありませんので!

Google AD


Message

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

Google検索結果ページに大きな変更があったよ!

いつものようにブラウザ(自分の場合はChrome)を立ち上げて、ニュースを確認。 そのあと

記事を読む

no image

転職しました。

もう3週間になりますが、タイトルの通りです。最初はこんなこと晒してもしょうがないんじゃないか?とかも

記事を読む

ソロモン流に出演していた滝川クリステルさんを観た感想

昨日テレビ東京系で放映していた『ソロモン流』を観ました。 出演していたのは「お・も・て・な

記事を読む

老人が幸せな国から若者が幸せな国になるには?

政治局面が大きく変化しそうなニュースが来ました。 維新 石原氏「橋下氏と分党で一致」

記事を読む

sergey_brin_google_glass

Google Glassがそろそろ発売されそうな件

発売されると言われていながらずっと発売されず、「出る出る詐欺」と揶揄されていたdocomo-ip

記事を読む

安倍晋三

安倍首相の靖国参拝と辺野古埋め立ての件

靖国参拝で波紋広がる 中韓の反発覚悟、米が「失望」表明 http://www.nikkei.c

記事を読む

ロリポップ

ロリポップからさくらインターネットにレンタルサーバを変更しました

前のエントリーで少し書きましたが、ロリポップを解約しました。 契約開始から3年と半年、本当

記事を読む

no image

「おっ」と思った記事

前回に引き続き、「おっ」と思ったサイトを紹介します。今回はデザインうんぬんでなく、コンテンツの方で。

記事を読む

ipad2買ったら、コレは買っとけ的なもの その2

前回に引き続き、買ってよかったipadアプリです。i文庫HD以前PDF化した本を読むのにデフォルトの

記事を読む

【漫画】ここ最近で面白いマンガを紹介します

最近読んだ漫画の中で、面白かった作品を紹介したいと思います。 面白い、面白くないは完全に主

記事を読む

Google AD

Google AD

PAGE TOP ↑