ネットショップ利用者は早急にパスワードの変更を!〜暗号化ソフトSSLの欠陥・Heartbleed(心臓出血)は「壊滅的」
12日付け読売新聞記事から。
暗号化ソフトSSLに欠陥、悪用狙い攻撃相次ぐ
2014年04月12日 08時07分インターネットショッピングやネットバンキングなどで広く利用されているデータ暗号化ソフトの「オープンSSL」に欠陥が確認され、これを狙った攻撃が相次いでいることが分かった。
警察庁が明らかにした。同ソフトは、クレジットカードの番号や住所、電話番号などを暗号化するもので、通信販売事業者や銀行などがネット上での決済などの際、利用者に提供している。関係者によると、同ソフトの欠陥は2年前から指摘されてきたが、同ソフトを提供するウェブサイトが7日に欠陥を公表し、修正した最新版を公開している。
同庁によると、攻撃は9日以降、断続的に確認されていて、多いときには1時間に約350件に上ったという。欠陥のあるソフトを使っているサーバーを探し、悪用するためとみられる。同庁では「各企業などで欠陥のあるバージョンを使っているかどうかを確認し、見つかった場合はアップデートをしてほしい」と呼びかけている。
2014年04月12日 08時07分
http://www.yomiuri.co.jp/it/20140411-OYT1T50132.html?from=ytop_ylist
うむ、インターネットで広く使われている暗号化ソフトの一部のバージョンにバグが見つかりました、事態はカードの暗証番号等暗号化されてきた個人情報など機密情報の大量同事漏洩の可能性がある深刻なものであり、このプログラムミスによる欠陥は「オープンSSL」を使用しているウエブサイトが世界的に広がっておりサーバー数で65万台以上(利用ユーザー数は億人単位ですが全く推測不能)という点を鑑みると、早急に対応策を立ててもおそらく被害の広がりは避けれないものとの悲観的予測が専門家からはでています。
各ウェブサイトの運営者は慌てて修復に乗り出しましたが、インターネットセキュリティーの研究者がこのバグにつけたニックネームは「Heartbleed(ハートブリード、心臓出血)」というものです。
「ハートブリード」とは何か、以下の14日付けWSJ日本語版記事が詳しいです。
「ハートブリード」とは何か―基本5項目
By DANNY YADRON
http://jp.wsj.com/article/SB10001424052702303433504579498863228091356.html
記事によれば、このバグが公表された7日の時点でOpenSSLは全てのインターネットサーバーのおよそ3分の2で利用されており、専門家は、このバグが「壊滅的」であり、「10段階評価の11」だと指摘しています。
1.ハートブリードとは何か
ハートブリードとは暗号化ソフトOpenSSLの一部のバージョンに見つかったセキュリティー上のバグ(欠陥)である。このバグが公表された7日の時点でOpenSSLは全てのインターネットサーバーのおよそ3分の2で利用されていた。
サーバーから極秘データが流出することから、グーグルとインターネットセキュリティー会社Codenomiconの研究者はこのバグに「ハートブリード(心臓出血)」というニックネームをつけた。
ハッカーはこのバグを利用すれば、保護されたデータをホストサーバーから収集することができる。セキュリティーに関する著作物のあるブルース・シュナイアー氏は自身のウェブサイトで、このバグが「壊滅的」であり、「10段階評価の11」だと指摘している。
ヤフーやアマゾンなど主要な多くのウェブサイトやサービスに脆弱性が認められています。
2.影響を受けるのは誰か
まだはっきりしない。バグが公表された時点では、ヤフーメール、アマゾンウェブサービス、OkCupidなど多くのウェブサイトやサービスに脆弱性が認められた。一部の研究者はヤフーからユーザーの名前とパスワードを収集することができたと発表し、バグの仕組みを示した。それ以降、企業はバグ修復のための措置を講じてきた。カナダの徴税当局は9日、予防措置として、インターネットによる納税申告サービスを一時的に閉鎖することを決めた。
事態が深刻なのは、「オープンSSL」を使用しているウエブサイトが世界的に広がっておりサーバー数で65万台以上(利用ユーザー数は億人単位ですが全く推測不能)という被害の広範囲に渡る規模だけではありません。
ネットワークの専門家が、このバグ「ハートブリード(心臓出血)」が「壊滅的」であり、「10段階評価の11」だと指摘しているのは起こる事態の広範囲さだけではなく、その事態の重篤(じゅうとく)な点です。
8日付け@IT記事では、通信相手からメモリ上の情報、例えば暗号化通信に用いるSSLサーバー証明書の秘密鍵、ひいてはユーザー名やパスワード、あるいはメールや重要な文書など、暗号化しているはずのコンテンツがことごとく読み出されてしまう恐れを指摘しています。
OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも
(前略)
この脆弱性は、OpenSSL 1.0.1から1.0.1fならびに1.0.2-betaから1.0.2-beta1に存在する。TLS/DTLS Heartbeat拡張の実装に問題があり、通信相手からメモリ上の情報、例えば暗号化通信に用いるSSLサーバー証明書の秘密鍵、ひいてはユーザー名やパスワード、あるいはメールや重要な文書など、暗号化しているはずのコンテンツが読み出されてしまう恐れがある。
(後略)
w.atmarkit.co.jp/ait/articles/1404/08/news134.html
開発元のOpenSSL Projectは米国時間の2014年4月7日、問題を修正したOpenSSL 1.0.1gをリリースし、早期にアップグレードするよう推奨しています。
サイト運営者やサーバー管理者は迅速にアップグレードする必要があるでしょう。
読者が一般ユーザーであれば残念ながら自分で出来ることは少ないです。
アマゾンや楽天などでネットショッピング等で個人情報を暗号化した経験のある人は利用しているサービスがハートブリードの影響を受けたかどうかを当該サイトでチェックしてください、その上で念のためパスワードの変更を検討してください。
上記WSJ記事より。
5.自分でできることは何か
利用しているサービスがハートブリードの影響を受けた場合は、その会社が暗号化ソフトを更新してからパスワードを変更したほうがいい。影響を受けているかどうかわからないときは、セキュリティー会社クオリスが設置したツールにサービスのアドレスを入力すれば確認できる。
影響を受けていない場合でも、パスワードの変更を検討することをお勧めする。これを機に、数字と文字と記号を組み合わせた頑丈なパスワードを使っているどうかを確認しよう。可能であれば、2つの認証方法で本人確認を行う2要素認証を設定してもいい。
・・・
ネットワーク上で、コンピュータやネットワーク機器が自身が正常に稼動していることを外部に知らせるために送る信号を「ハートビート」(heart beat)と呼びます、英語で心臓の拍動のことです。
ネットワークで接続されたコンピュータやネットワーク機器は、通信相手から長時間通信がないときに、用がないから黙っているのか、ダウンしてしまったのか確認する術がありません。
このため、多くのプロトコルやアプリケーションでは、用がないときでも一定時間ごとに「生きている」ことを相手に伝えるための信号を送るように設計されています。
このとき送られる信号やパケットがハートビートであります。
発覚した深刻な不具合は、「オープンSSL」の「ハートビート」(heart beat)拡張機能で内包してしまっていたバグなので、「Heartbleed(ハートブリード、心臓出血)」と命名されたものです。
呼称の由来はさておき、起こる被害の広範囲に渡る可能性とその被害の重篤さを一般読者のみなさんにアナウンスする必要があると考え、エントリーを起こしました。
(木走まさみず)