先週の注目ニュース:Heartbleedの続報、LaCieの情報漏えいなど

セキュリティ関連のニュースでは、先週も引き続きHeartbleedが大きく取り上げられました。他にも、外付けハードディスクで有名なLaCieの情報漏えいが明らかになるなど、重要なニュースがいくつもあります。

先週のニュース

Heartbleedに関する話題は先々週から引き続き、セキュリティニュースの見出しを独占しています。この先週のまとめ記事でHeartbleedだけを取り上げることもできると思いますが、やめておきましょう。他にもお伝えすべきニュースがあるからです。先週は、人気の(そしておしゃれな)外付けハードディスクのメーカーで1年にわたって情報が漏えいしていたことが明らかになり、Microsoftが奇妙な動きを見せてセキュリティ更新のインストールに影響が出る可能性が生じ、ある検索大手企業が、セキュリティ対策がしっかりしたWebサイトを検索結果の上位に表示することを検討していると報じられました。また、XPのサポート終了によるインターネットへの影響が示されました。

Heartbleed

先ほども書いたように、Heartbleedの問題は現在も進行中です。この数週間はまったくニュースを読んでいなかったという人のために説明すると、Heartbleedとは暗号の欠陥であり、これが悪用されると、OpenSSLという暗号の実装で保護されたマシンのメモリが、インターネット上の誰でも読み取れるようになる恐れがあります。深刻なケースでは、メモリのこの小さなブロックに、ユーザー名やパスワード、暗号の秘密鍵までが保存されていることもあります。短いニュース記事でHeartbleed問題の全容をもう一度説明する時間はありませんが、ちょっとよくわからないという人は、こちらのHeartbleedの説明記事や、Heartbleedが重大である理由を詳しく分析した記事をどうぞ。どんな状況かよくご存知の人は、このまま読み進めてください。

Heartbleedをめぐる状況は先週末に悪化しています。深刻ではあるものの仮説の域を出なかったセキュリティ上のぜい弱性から、現実の攻撃で活発に利用され、実際の被害が続出する問題へと形を変えました。英国ではMumsnetという育児Webサイトが、Heartbleedを悪用するハッカーに攻撃されました。攻撃者はMumsnetのパスワードを盗み出し、同サイトにメッセージを投稿するために使用したと報じられています。さらに憂慮すべき攻撃も発生しており、カナダの歳入庁が管理するシステムに、Heartbleedを利用した攻撃者が侵入しました。歳入庁がOpenSSLの修正バージョンでシステムを更新した6時間のうちに、900人分の社会保険番号が盗まれています。

OpenSSLのHeartbleedバグによって、パスワードや通信内容、暗号鍵が漏えいする恐れがあり、Heartbleedのニュースは今もセキュリティ業界の話題の中心であり続けています

匿名ネットワークTorでさえ、サーバー、つまり「出口ノード」の約20%にぜい弱性が発見されました。これは先々週、ボストンのノースイースタン大学のコリン・マリナー(Collin Mulliner)氏が実施したTorノードの無作為抽出による調査で明らかになりました。Torはこうしたぜい弱なノードをブロックし始めています。

このような攻撃が発生しており、証明書の窃盗が実際に可能であることを示す概念実証が公開され、侵害された可能性のある証明書は差し替える必要があることが広く知られているにもかかわらず、証明書を無効にして新しいものに代えるという緊急対策は、実際のところ急いで実施されているようには思えません。簡単に説明すると、こうした証明書は、Webサイトが本当にそのWebサイトであることを保証するものです。証明書はまさに文字通り、インターネットにおける信頼の証です。確かに、Heartbleedが知られるようになってから証明書の取消と交換が急増していますが、急増しているといっても、このバグの影響範囲とは比べものになりません。

LaCieでの1年にわたる情報漏えい

フランスのコンピューターハードウェア企業LaCieは、カラフルな外付けハードディスクがよく知られていますが、私の同僚のクリス・ブルック(Chris Brook)(月1回のニュースポッドキャストで一緒に司会を務めています)によると、同社は先週、情報漏えいの被害に遭ったことを発表しました。過去1年間にLaCieのWebサイトから製品を購入した顧客全員の重要情報が危険にさらされている可能性があるというのです。同社の発表では、攻撃者がマルウェアを使ってオンラインシステムに侵入し、そのアクセスを利用して、顧客の氏名、住所、メールアドレス、さらには支払カードの情報やカードの有効期限といった情報を盗んだとされています。そのため、この1年ほどの間にLaCieのオンラインストアで何かを買った人は、個人情報が流出しているかもしれません。とはいえ、その場合は同社からすでに連絡があったはずです。

Microsoftの不可解な決断と、可能性を感じさせるGoogleの決断

私としては混乱してしまう動きに思えますが、きっと何かもっともな理由があるのでしょう。Microsoftは先ごろ、Windows 8.1の古いバージョンを使用しているユーザーには、今後セキュリティ更新を提供しないと発表しました。つまり、これからもセキュリティ更新を受け取るには、同社が4月に公開した最新のWindows 8.1 Updateでマシンを更新しなければならなくなるということです。

私はMicrosoftの広報担当者と話しましたが、同社がこの決定を下した理由についてあまり詳しく教えてくれませんでした。ここでの明るい材料は、Microsoftの広報担当者が指摘したように、今回の発表が影響するのは、自動更新を有効にしていないごく一部のユーザーだけだということです。自動更新は、ぜひ有効にしてください。ほとんどの商用Windowsシステムは既定で有効になっていると思います。自動更新されていれば、何も心配はいりません。更新を手作業でインストールしている人は、4月のWindows 8.1 Updateをインストールしないと、今後の月例パッチをインストールできなくなります。どうするかは各ユーザーが決めることですが、私には考えるまでもないことのように思えます。

一方、検索大手Googleに関して流れている噂によると、同社はその魔法の検索アルゴリズム(少なくともGoogle検索はこのアルゴリズムによって動いていると思います)に手を加えて、暗号化を実装しているWebサイトが検索結果の上位に表示されるようにしようとしているそうです。The Wall Street Journalは、Googleの検索アルゴリズムのリーダー、マット・カッツ(Matt Cutts)氏のカンファレンスでの発言内容を基に、このニュースを伝えています。Googleはこの主張を完全には否定していませんが、現時点で発表できることはないとしています。Googleが本当にこの件を検討しているかどうかはわかりませんが、良いアイデアであることは間違いないように思えます。

ついに終末を迎えたXP?

Microsoftのサポート終了と言えば、同社はついに今月、Windows XPの最後の公式パッチをリリースしました。未だに28%ものコンピューターユーザーに使われているオペレーティングシステムのセキュリティサポートを打ち切ることで生じる影響については、長年にわたって大いに議論されてきました。まだその影響を判断する時期ではありませんが、今もXPを使っている人は、乗り換える時が来たと考えていいでしょう。Heartbleedが発覚しなければ、この件がもっと取り上げられていたはずです。時間が経つにつれて、XPのサポート終了の影響について語られるようになるでしょう。こちらの記事で、今後XPの終了が意味することを詳しく解説しています。

モバイル関連のニュース

最後になりましたが、決して重要度が低いわけではありません。Kaspersky Labのリサーチャーの新しいレポートで、マルウェアを利用してAndroidユーザーからバンキングの情報を盗むというビジネスが犯罪者の間で活気づいていることが実証されました。この記事の締めくくりとして、優秀な指紋認証機能がまた1つハッキングされたことをお伝えします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?