先週の注目ニュース:Heartbleed、Windows XPサポート終了など

先週の大きなニュースはWindows XPのサポート終了だけになるはずでした。しかし、OpenSSLの深刻なぜい弱性、Heartbleedが明らかになります。いずれも極めて重要なニュースです。

OpenSSLの危機

Heartbleedというと、Slayerのアルバムのタイトルのようだと思う人もいるかもしれませんが、これはOpenSSLの深刻なセキュリティぜい弱性の名前です。OpenSSLは極めて広い範囲で使用されているオープンソースの暗号ライブラリで、インターネット上の3分の2ものWebサイトが採用していると言われます。こうしたサイトでは、SSLとTLSで暗号化された安全な接続を行う仕組みとしてOpenSSLが利用されています。TLSと、その前身の技術であるSSLは、オンラインでの通信の安全を守る暗号プロトコルです。

Heartbleedはエクスプロイトが非常に簡単で検知が極めて難しいぜい弱性と言われており、攻撃者に悪用されると、一般のインターネットユーザーに甚大な被害が及ぶ可能性もあります。このぜい弱性のエクスプロイトが成功した場合、秘密鍵や、ユーザー名とパスワードの組み合わせなど、さまざまな重要情報が漏えいする恐れがあります。

先週、OpenSSLがそのぜい弱性に対する修正の提供を発表し、Heartbleedのニュースが世界を駆け巡りました。それ以来、Heartbleedの深刻度は広く認識されています。これほどのぜい弱性は過去に例がなく、セキュリティ業界の誰もが話したことも、聞いたことも、読んだこともないというレベルです。Heartbleedについて判明していることを考えると、デジタルの春の大掃除をするのがいいでしょう。特にパスワードの変更は重要です。先日Kaspersky Dailyで公開されたHeartbleedについての記事は必ずお読みください。実際は極めて複雑な問題を、わかりやすくまとめてあります。また、現在もぜい弱なサイトや、ぜい弱性を抱えていたサイトを確認するためのヒント、その対処法を紹介しています。

先週大きく扱われたニュースはたった2つしかありませんでした。広範囲に深刻な影響を及ぼしているぜい弱性Heartbleedと、Microsoftのセキュリティサポートが終了したWindows XPです

こうした暗号に関するものに興味が出てきた人(あるいは、暗号化とは何か、どのような仕組みなのかがわからず混乱してしまった人)は、暗号学的ハッシュ関数についての説明記事をご覧ください。今回のOpenSSLをめぐる状況に直接関係する内容ではありませんが、ときには暗号に関する知識を増やしていっても損はありません。

XP時代の終焉

2週間前に、「来週の主な動きは何か」と聞かれていたら、「Windows XPの話題一色になる」と答えていたでしょう。2014年4月9日(日本時間)は、12年以上前のオペレーティングシステムWindows XPにMicrosoftが公式のセキュリティ修正をリリースする最後の日となりました。MicrosoftがXPへの修正をリリースするのは2014年4月の月例パッチ(Patch Tuesday、日本では水曜日)が最後ということは、以前から知られていました。

問題は、XPが今でも大きなシェアを占めるオペレーティングシステムだということです。医師のオフィスや病院のコンピューターで使われていることもあれば、POS端末やATMの決済インターフェイスに使われていることもあります。また、無数の組み込み式デバイスのベースOSとして使用されている場合もありますし、読者の皆さんの中にも個人的に毎日利用しているという人もいるかもしれません。私が読んだ記事の情報を総合すると、XP全体の推定市場シェアは18%から28%の間でした。楽観的な考えは捨てなければなりません。Windows XPはなくなったわけではないのです。サポートが終了したということは、同OSで新たに発見されるぜい弱性に修正が提供されなくなるということでしかありません。

かつて世界で最も使用されていたオペレーティングシステム、Windows XPの過去と未来についての記事で、これらすべてが意味することを詳細に説明しています。

その他のニュース

大きなニュースにやや埋もれた形となりましたが、Googleの先週の動きはかなり力強く、ユーザーのセキュリティを第一に考えているように思えます。同社はモバイルオペレーティングシステムAndroidに新たな機能を追加してセキュリティを強化しました。この新機能は、ユーザーのデバイス上のアプリを継続的に監視して、アプリが悪意のある動作をしていないことや、与えられた権限を越えて不要なアクションを実行していないことを確認します。

BouncerとVerify Appsという既存のシステムは、Google Playストアをスキャンして、ユーザーがインストールしようとしているアプリに問題の可能性があれば警告を表示します。場合によっては、Googleがそのアプリのインストールを完全にブロックすることもあります。新機能はさらに一歩踏み込み、すでにインストールされたアプリを監視することで、開発者がインストール済みアプリに更新を送信して悪意のある機能や迷惑な機能を追加するのを防ぎます。こうした対策は、悪質AndroidアプリがGoogle Playストアに侵入するという深刻化している問題を抑制することが目的です。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?