2014年4月11日

OpenSSLのぜい弱性「Heartbleed」が多数Webサイトのセキュリティに影響

ニュース ヒント 脅威

インターネット上で広く使われている暗号化ライブラリ、OpenSSLに暗号化の深刻な不具合が見つかりました。これがいかに深刻なものかぴんとこない方も、この記事を読み進めれば事の重大さがわかってくることでしょう。

heartbleed

Webサイトに対して暗号化接続を確立するとき、データはSSL/TLSプロトコルを使って暗号化されます。多くのWebサーバーでは、オープンソースのOpenSSLライブラリを利用して暗号化を行っています。今週、OpenSSLは深刻な不具合を修正するためのパッチをリリースしました。修正対象は「Heartbeat」というTLS機能の実装に関する不具合で、最大64KB 単位のサーバーメモリを読み取れるというものです。この不具合は「Heartbleed」と呼ばれています。

言い方を変えましょう。サーバーのメモリを保護する暗号ライブラリ(OpenSSL)がぜい弱性のあるバージョンだと、インターネット上の誰でもメモリを読み取れるのです。最悪の場合、ここに何か重要なデータが保管されているかもしれません – ユーザー名、パスワード、暗号化通信に使われるプライベートキー、などなど。さらに、このバグを悪用した痕跡は残りません。サーバーがハッキングされてデータが盗まれても、どのデータが被害に遭ったのか特定できないのです。

明るいニュースもあります。OpenSSLはこの不具合を修正しました。一方で、悪いニュースもあります。Heartbleedの影響を受けるWebサイトやオンラインサービスが修正パッチを適用したかどうか、確認する術はありません。さらに、この不具合はとても簡単に悪用できるだけでなく、2年もの間存在し続けていたとされています。これまでにメジャーなWebサイトのセキュリティ証明書が盗まれた可能性だけでなく、パスワードのような重要データが盗まれた可能性も浮上しました。

ユーザーのやるべきこと

更新情報:Mashableでは、影響を受けるWebサービスに取材して、状況をリストにまとめています。ひとつひとつ確認する手間を省きたい場合は、次に示すWebサービスのパスワードをすべて変更するとよいでしょう。それぞれに別のパスワードを設定することをお忘れなく!
Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud、Wunderlist

  • 自分がよく見るWebサイトにぜい弱性が「あったか」どうかを確認する。ぜい弱性があるかどうかチェックするオンラインツールはいくつかあります。しかしポイントは、過去にぜい弱性を抱えていたことがあったか、という点です。このぜい弱性に関して主なWebサイトをチェックした結果が公開されているので、参考にしましょう。FacebookやGoogleは影響を受けていないようですが、Yahoo!やFlickr、Duckduckgoはぜい弱であった時期がありました。これらWebサイトのアカウントを持っているなら、以下のことを行いましょう。
  • 「今」そのWebサイトがぜい弱性を抱えているか確認する。たとえばこのようなオンラインツールが役立ちます。
    heartbleed1
  • 自分が新しいサーバー証明書(201447日以降に発行されたもの)を使っているかどうか確認する。Webサイト側では、不具合の修正だけでなくサーバー証明書の再発行も必須だからです。サーバー証明書を確認するには、ブラウザーで証明書失効チェックを有効にします。Google Chromeの場合を例にとってみましょう。
    heatbleed-ssl-2これで、ブラウザーが古い証明書を使い続けるのを防止できるようになります。証明書発行日を手作業で確認する場合は、アドレスバーに表示される緑の錠のアイコンをクリックし、[接続]タブの[証明書情報]リンクをクリックしてください。
    heatbleed-ssl-3
  • サーバーにパッチが適用されて証明書が更新されたことを確認できたら、自分のパスワードをすぐに変更する。この作業が一番重要です。自分のパスワード管理方針を見直すいい機会でもあります。強力なパスワードがどんなものかは、パスワード安全診断サイトで確認できます。

—-
追記:2014年5月8日  Mashableによる、各Webサービスの対応状況リストを追加しました。