カテゴリー: セキュリティを考える

マイナンバー制度はなぜ周知されないのか

新年も明けたばかりでまだ早い話題ですが、今年の年末(2015年10月)にはマイナンバーの公布が各自治体から行われる予定です。
(施行は2016年から予定)今のところ任意ですが、2018年から預金口座の紐付けも盛り込まれました。

・マイナンバー、預金口座と任意で連動(日本経済新聞電子版より)(リンク先ページが消えた為、以下参考リンクに別サイトからリンク)
過去記事はこちらから「マイナンバーのクラウド対応でセキュリティの懸念」(プラグインの関連で表示される為削除)(2015年6月修正)

では本題です

周知が遅れて困るのは国民すべて

内閣官房のHPで社会保障・税番号制度としてサイトが設けられていますが、どれだけの人が見るでしょう。

今やネットが常識になったとはいえ、HPだけで確認してくださいはあまりのも情報不足としか言いようがありません。

TVなどでやってもほんの少しで目に止まるかどうかです。

施行まではまだありますが、マイナンバーが公布、施行されれば会社の給与明細や源泉徴収票などでも使われます。
(マイナンバーを社員番号にする事は禁止されています)

つまり、企業が対応できないと確定申告などを自分でやるはめになりかねません。

マイナンバー制度の説明では「番号は漏えいしないように」とありますが勤務先や行政手続きでは使用を認めています。(矛盾だらけで訳が分かりません・・・)

残るセキュリティの懸念

前回記事と重複する部分もあると思いますが、マイナンバーは個人が12桁、法人が13桁で、
内ひと桁がチェックデジット(ウィキペディアより)と呼ばれる検出チェックにあてられる様です。

肝心の番号は全て数字で生涯変更ができない為、(漏えいなどにあった場合は別の様ですが)
番号で紐付けして平気なのかと懸念はあります。

ただし、漏えいした側の罰則も厳しく設けられ、某企業であった「名簿屋」には渡らない様にはなっているみたいですが、漏れる時はあると思いますけどね。
(企業で対応が遅れている最大の原因が案外これかも知れません>番号漏えい=罰則)

ただでさえ、近年セキュリティが問題視されているのに、施行されてから、
「あなたの番号が変わりますので現在の番号を・・・」なんて電話が高齢者をターゲットにジャンジャンかかってきそうで不安です。

参考リンク
・預金口座にマイナンバー=18年から任意で-政府・与党(時事ドットコムより)
・2016年に逮捕者続出?企業に迫るマイナンバーの落とし穴(IT Proより)
・内閣官房のHP内(社会保障・税番号制度より)

*****     まとめ     *****
  • なぜTVなどで特集をやらないのか
    ネットをやる人でも知らないのに、情報源がTVや新聞しか見ない人だったら番号が公布されて
    「この番号はなに???」となるでしょう。
    税制を管理しようとするシステムの周知にしてはあまりにもおそまつ。
  • 賛成か反対か
    個人的には反対です。
    まあ、カウントダウンに入りましたから反対してもしょうがないですが、
    2018年から予定されている預金口座に紐付けするのは任意にせよやりすぎです。
    現行法を変えなくてはいけないのと、預金口座を筒抜けにするようじゃ個人情報もあったものではありません。この制度は賛否がありますが、セキュリティが完全とは思えないので賛成の意見を述べている方の意味が分かりませんが。
    唯一メリットがあるとすれば、年金保険料など納めていない人たちが強制的に洗い出されるという所でしょうか。
  • 個人情報扱いの決定的違い
    賢明な方はおわかりでしょうが、今まで個人情報が漏えいしたおもなニュースは
    氏名、住所、電話番号など、もちろん個人情報ですが全てではなく断片的でした。
    ところが、この制度は固有のナンバーで一元管理分散管理する事が前提の為、
    思わぬ情報がいもづる式に抜き出されてしまう可能性があります。
    その対策も欧米などの例をふまえて対策をしているでしょうが、
    こればかりは制度自体が施行されてからでないとどうなるか分かりません。

ですがこれだけは言えるでしょう。
人が扱う以上必ずどこかで漏えいすると・・・。
施行まで対策の強化と周知をしっかりやってもらいたいものです。

ソニーストア
Pocket

終りなきパスワード管理の現状

パスワード管理ほど面倒なものはありませんが、別にネットを使わなくてもあらゆる所でパスワードの管理が必要になっています。
興味深い記事を目にしましたので、そちらを参考にしながら管理人目線で記事にしていきたいと思います。
すぐに参考記事を見たいと言う方は以下、参考リンクからお願い致します。

では本題です

当ブログでも以前「パスワードを忘れて再発行の経験」としてパスワード管理ソフトのID Managerを紹介させて頂きました。

現在は最新Ver8.1ですが、IE9以降では「一括貼り付けができない」と公式サイトでも認めており、
一括貼り付けの場合はMozillaFirefoxなどを検討してくださいとあります。ID Manager公式(FAQより)
ですが、コピペに関しては問題無く使えます。
(一部サイトに関してはマウス操作だけではペーストが出来ない所がありますが、Ctrl+Vで貼りつけできています。)

エクセルとパスワード管理ツールの活用

使用するサービスが増えればそれだけパスワードの数も増えていきます。
管理人は20ほどサービスを使用していますが、それでもIDなどを混ぜるとすべてのパスワードが当然違う為、
管理対象数は倍以上に膨れ上がります。

そこでエクセルの出番です
エクセルで管理するのは危険と書いている所もありますが、
ネットバンクなど、金銭に直結しないもの(ブログなど)であればエクセルなどの表計算ソフトで管理するとかなり楽です。

パスワード管理ツールの活用
頻繁に使うサービスは管理ツールからパスワードを入力した方が楽です。
エクセルは便利ですが、入力のたびに開いていたのでは面倒ですし、複数ユーザーがいる場合共有すると逆にデメリットになりますので、管理者のみ開ける様にしておくと良いかも知れません。

最後はやはり紙に戻る

重要なサービスなどはまだ紙で管理しているのが現状です。
PCにも保存していません。
じゃあ、PCに保存してあるのは重要ではないのかと問われると消えたらプチパニくるでしょう。
だからこそ最終管理が紙であると言いたいのです。
PC上でバックアップを取っても問題ないと思いますが、パスワードを更新したらバックアップも常に更新しないと意味がありません。

人はものを忘れる

下記、参照リンク記事にも書いてありましたが、悲しい事に人は物事を忘れます。
「パスワードの10や20は記憶しているよ」と言う方であればそれはたいしたものですが忘れた時の為の管理です。

また、近年のパスワード桁数は最低8桁以上を推奨しています。
まれに、サーバーの構成により桁数が制限されている所や、英数小文字のみという所もありますが、
長ければ長いほど良いとされている様です。

参照リンク

・パスワードクライシス・前編 パスワードって何だ?
・パスワードクライシス・中編 パスワード管理を取り巻く現実
・パスワードクライシス・後編 無理のないパスワード管理をどうするか
(ALL ITmedia、エンタープライズより)

*****     まとめ     *****
  • 何を管理対象にするか
    なんでもかんでもデータ化してファイルに放り込むのは好ましいとは思えません。
    上記でも書きましたが、ネットバンクのパスワードなどは万が一被害にあった場合取り返しがつきませんので、面倒でも紙に書いておくか、どうしてもPCで管理する場合は「最低でも一カ月に一回」はパスワードを変えるなど細心の注意が必要となります。
    ブログサービスなど比較的金銭面に直結しないものであれば利用しているサーバーなどに被害があっても対応は最小限で済みます。
  • それでも絶対安全はない
    PCで管理しても、紙で管理しても「絶対安全」はありません。
    PCの場合パスワード管理ツールを使えば暗号化されているので比較的安全だと思いますが、エクセルファイルを暗号化しても、もし外部にファイルが漏れた場合、暗号を解読するソフトはいくらでも出回っているのが現状です。また、紙で管理したパスワードを入力する場合、使用するPCにキーロガーというウイルスが仕込まれた状態で打ってしまえばそれまでです。
    (アンチウイルスソフトを入れ、PCは常にセキュリティ状態を最新にしておく事が重要です)
  • こまめに管理するしかない
    パスワードの使いまわしは論外ですが、とにかく被害を最小限に抑えるには現在使用しているサービスのパスワードをこまめに変更管理していくしかない様です。
    そして、使用していないサービスでメールだけ配信されてくる様なものはサービスを退会しましょう。
    (余計なトラブルの元です)
Pocket

SSL3.0の脆弱性発覚で運営側続々と対応

SSL3.0という通信プロトコルに深刻な不具合が発覚した為、サーバー運営側や、ユーザー側にも対応が推奨されてきています。

では本題です

SSL3.0の脆弱性対応や廃止が続々と発表されていますが、深刻な不具合とはいえ、相当複雑な条件下で発生するらしいので対応する事は推奨されますが、今の所あせる必要はなさそうです。

登場からほぼ18年で幕をおろすSSL3.0

元々、前の規格SSL2.0に脆弱性があった為、互換として発表されたものだったのですが、ほぼ18年で幕をおろす事になりました。

年数の訂正ほぼ15年で幕をおろす事になりましたGoogle Online Security Blogより、年数の訂正を致しました。

[Updated Oct 15 to note that SSL 3.0 is nearly 18 years old, not nearly 15 years old.] SSL3.0はほぼ15歳ではなく、ほぼ18歳であることに注意することを10月15日に更新いたしました。

Web翻訳の為、若干の違いがあるかもしれません。

近年は、TLS(ウィキペディアより)と言われる後継の通信プロトコルが主流になりつつありますが、SSL3.0もまだ多く使われている事から対応の推奨をしている訳です。

ユーザー側の対応策

深刻な不具合には違いありませんが、ほぼ運営側にまかせるしかないと思います。
普通にブラウザでネットを閲覧しているだけであれば、常に最新のバージョンにしておけばまず問題ないと考えています。

ただし、あまり古いブラウザや、サーバー運営側が対応していないとまれに問題が起こる可能性は否定できません。
対応策などは、IPA(独立行政法人 情報処理推進機構)からアナウンスされています。

対策サーバもしくはクライアントのどちらか一方で、SSL3.0を無効化することで対策できます。
なお、SSL3.0を無効化することで次の影響を受ける可能性があります。
・サーバ側でSSL3.0を無効にした場合一部のクライアントから接続ができなくなる可能性があります。
・クライアント側でSSL3.0を無効にした場合一部のサーバに接続できなくなる可能性があります。

IPA独立行政法人情報処理推進機構より

IPA独立行政法人情報処理推進機構によると、対処方法はサーバー運営側とユーザー側に分かれていますが、ユーザー側であればブラウザの更新に伴い、SSL3.0が無効化される方向にありますのであまり気にする必要はなさそうです。

参照リンク

・SSL3.0に深刻なセキュリティ脆弱性-Googleが発見(マイナビニュースより)

・SSL3.0の脆弱性対策について(IPA独立行政法人情報処理推進機構より) 対応情報など随時更新中

*****     まとめ     *****
  • 推奨レベルでも対応は必要
    複雑な条件下で起こる不具合とはいえ、ユーザー側であれば常にブラウザを最新状態に保っておく事が重要だと思います。
    使用ブラウザがIEであれば、ツール→→インターネットオプション→→詳細設定で「SSL3.0を使用する」という項目がありますのでチェックをはずして適用してください。
    これでどこかのサイトが反応しなくなった場合、その運営側の対応が済んでいない可能性があります。
  • 対応を迫られるサーバー運営側
    SSL3.0で運営している所はそんなに多くはないとの情報ですが、世界的に見たらまだまだ使っている所は多いはずです。
    その弊害を出さない為にも運営側には迅速な対応をお願いしたい所です。
ソニーストア
Pocket

個人情報は漏れるものと認識が必要

ベネッセの個人情報大量流出問題は、近年多発しているネット情報漏えいとは少し違い衝撃を受けました。
改めて、日本の個人情報保護がほとんど機能していないのを痛感したニュースです。

では本題です

上記の、少し違いと言うのは、まだ調査段階で詳細は分かりませんが今回の場合、ネットサービスでの情報流失ではなく「名簿業者」から買い取った情報が漏えいした事で問題が発覚した事です。

名簿業者の存在が合法だった

個人情報保護法ではその23条第2項で、オプトアウト、すなわち本人からの削除の申し出があった場合必ず削除することを条件として、個人情報取扱事業者が本人の同意なく個人情報を第三者に提供すること、つまり
個人情報を販売することを認めている。(名簿業者-ウィキペディアより)

これは知りませんでした。

今回の場合、ジャストシステムが業者から買った情報でダイレクトメールを出した所それがベネッセの顧客情報だった・・・というおちらしいですが、ジャストシステム側は知らなかったとしています。

・ジャストシステム ニュースリリースより

今後の情報解析がカギ

ジャストシステム側は購入した全データを削除する予定らしいですが、情報の流通ルートの解明が困難になるとしてベネッセ側からジャストシステム側へ中止を求める声明を発表したそうです。(当然ですが)

ジャストシステムも同じような事業を行っている為、ライバル関係なのは分かりますが相手企業に迷惑をかけて、購入情報だけ削除はいただけませんね。現在、購入した情報の利用は止めている様ですが。

個人情報は漏れるもの

国によって仕組みに違いはあるでしょが、人はこの世に生まれた時から「戸籍」という形で個人情報が発生します。
「名簿業者」が合法である以上、ネットを使わなくてもどこからか個人情報は漏れると思います。

今回はジャストシステム側から情報流失ルートが発覚したようですが、氏名、住所、電話番号くらいなら誰でもなにげに記入していると思います。

  • ソフト購入時の登録
  • ブロバイダー登録
  • 携帯購入登録
  • 会社などの定期券購入時
  • 量販店で比較的大きな買い物をする時
  • ネット購入(初回情報登録時)
  • その他、挙げたらキリがありません・・・

参考リンク

・ベネッセ、データ削除中止求める(日本経済新聞より)

*****     まとめ     *****
  • 他の業界・業種も例外はない
    今回はベネッセとジャストシステムが大きく取り上げられましたが、「名簿業者」が合法という時点で他の業界も例外はないでしょう。
    この辺の個人情報の法整備をもっとやらないと情報漏えいは永遠に無くならないと思います。

    ネットからの情報漏れも深刻ですが、今回の件が公になった事で、何割かはネット情報も売られていると推測します。

    情報は企業にとって最大の資産ですが、元を断たなければ漏れ続けると認識しておいた方がいいと思います。

    また、すでに漏れてしまった情報を完全に削除するのはほぼ不可能に近いと言えます。
    ジャストシステム側は購入した全データを削除するらしいですが、このタイミングでそれはそれで問題でしょうし、購入した名簿業者から情報が削除された事を証明する事は現時点では不可能に近いと思います。
    (今後の進展により状況が変わるかも知れませんが)

  • 今後の大きな課題
    企業・国を問わず、個人情報を扱っている所は厳重管理の元に不要な情報は即座にシュレッダーなどで破棄を心がけてほしいものです。
    ネット利用の視点から見れば、必要最低限のログ(記録)にとどめて、今後、肥大化していくビッグデータで出るであろう「大量の蓄積データ」が個人情報として拡散しない様にしていく事が求められると思います。
Pocket

マイナンバーのクラウド対応でセキュリティの懸念

2016年施行予定のマイナンバー制度ですが、交付番号に順次「預金口座」を紐付けする事が決まり懸念されています。
まだ施行前ですので、さらに改定されていくはずですが不安は残ります。
補足追加(2014年12月22日)
「預金口座」の紐付けは当面は任意としていますが、いずれ義務化になると思われ懸念されます。

・預金口座にマイナンバー=18年から任意で-政府・与党時事ドットコムより

では本題です

以前、当ブログでも「契約辞退で問題山積み「マイナンバー制度」と題して記事にしましたが、情報利用の範囲が拡大するのではという懸念から、今回記事にしようと思いました。

クラウド導入に懸念

このシステムにクラウド技術を導入する事自体がそもそも大きな懸念材料ですが、全国の自治体や、企業内で導入後必要と思われる為、将来を見越しての判断だったのかも知れませんが、不安は消えません。クラウド技術とは(ウィキペディアより)

導入に関しては、「総合行政ネットワーク」というかなり強固なセキュリティを誇るシステムを経由して利用する事になりそうですが、外部からの攻撃が近年相次いでいる事から、国の根幹システムをなぜクラウドにするのか疑問と懸念が広がります。

クローズシステムにしなかった訳はなにか

いろいろな例や解釈がありますが、クローズとある様に開発環境や情報を外部に出さないシステムを主に指します。

そうは言っても人の出入りは当然ありますので、完全なクローズではありませんがネットワークには基本つながれていないものとされています。

代表的な例が、損害保険会社やカード会社ではないでしょうか。

基本、財産に関わる情報はクローズにすべきと思っています。

ネットでやりとりする所が情報漏れなんてニュースを聞きますが、クローズであればそのデメリットも大幅に軽減したでしょう。

その為、セキュリティも格段に上がりますが、特定の企業が開発環境などを提供・維持していかなければならない為、コストが非常にかかります。
また、完全にクローズにしてしまうと、自治体など外部環境とやりとりが厳しくなりこの制度の意味がなくなるので、ある程度オープンにしたい訳でしょう。

セキュリティ面でサーバーが耐えられるのか

ただでさえ、近年は外部から不正アクセスが増えており、このままシステムを構築しても不安材料が残るというのに、ここにきて「預金口座」の紐付けが浮上してきており、情報量からいっても半端なサーバーでは管理しきれないと思います。

また、使用範囲をひろげ過ぎれば、セキュリティ面で多大なリスクを生む可能性も否定できません。

使い方をあやまれば国民の信頼を失う可能性

税収の管理までは100歩ゆずってしょうがないとしましょう。

納税は国民の義務ですから。

マイナンバーに「預金口座」の紐付けがされた時、脱税などには役立つでしょうが一番懸念される要因はやはり
「国民の個人情報保護を無視する形になるのでは」という国民すべての懸念材料でしょう。

この問題やセキュリティの問題を国が丁寧に説明しないと住基ネットの二の舞になりかねません。
ちなみに、「預金口座」の紐付けは現行法では禁止されているという事なので、上記案を盛り込む場合、法改正が必要のはずです。

施行開始年がキーとなるのか

マイナンバー制度自体は2016年に施行予定ですが、番号配布予定時期は2015年10月としています。

そして、

「預金口座」の紐付けを予定しているのは2018年から順次としています。

確か、

2018年から「新規開設口座」を対象として施行して行き、2020年へ向けて既存口座も順次、紐付け予定だったと思います。

ただし、

上記でも書きましたが、こちらの案は法改正が必要らしいので、施行直後に制度自体がこけたら先は不透明になると思います。

自治体や民間企業にも負担増の可能性

各自治体に負担がかかるのは住基ネットで証明済みですが、マイナンバー法によると、民間企業も源泉徴収票などで番号を使う可能性があり、仮に番号を使う事になった場合、そのリスクは計り知れません。
(ただし、まだ施行されていない為、どこまで番号が使われるか分かりません)

問題視されていない高齢化社会問題

セキュリティの問題や「預金口座」の紐付けでいっきに話題になったマイナンバー制度ですが、住基ネットで学ぶべき点も多いはずです。

社会保障と税の一元化をメリットに挙げていたはずですが、徐徐に範囲が広がり、肝心の問題から外れていく気がします。

2013年現在、住基ネット(カード)普及率はわずか5パーセント前後らしいのでいかに周知されていないか分かります。

加えて今回のマイナンバー制度です。
若年層はネットなどでいろいろな情報を得て騒ぐのは理解できますが、問題はマイナンバー制度が施行されて、自治体などから番号が交付された時、「番号の意味や書類の意図が理解できない」いわゆるシルバー層などにあります。(もちろん、若年層でも分からない方は沢山出てくるでしょう)

書類をいくら送ったと自治体側が言っても、その意図が理解できなければマイナンバー制度は不完全なものに終わってしまい、住基ネットの二の舞になり税金の無駄づかいになりかねません。

周知徹底が最大の課題

全国民に周知させた例として、地上波デジタルテレビ放送(地デジ)の移行があります。

今まで視聴できていたアナログ放送が停波する事により、TVが見られなくなるとして、TVのある全世帯でデジタル放送への移行が必要だった為、毎日の様にTVなどで情報を流していました。

当然、莫大な宣伝費用もかかったでしょう。

しかし、このくらい周知させないと「マイナンバー???・・・なにそれ」で終わってしまう可能性があります。

新聞、雑誌、TV、ラジオ、ネット、自治体ごとの説明会などあらゆるメディアを使い、最低でも施行一年前から丁寧に説明しないと国民の理解を得られなでしょうし、番号だけ配布されても全体に機能しない可能性が現状ではあると思います。

参考リンク

・マイナンバーの「今」と「次」の課題を跳び越えられるか(ITproより)

・マイナンバーシステム整備本番へ!クラウド化は必須か(ITproより)

・マイナンバーで自治体クラウドへの移行は加速するか(ITproより)

・32年度メドに健康保険証などをマイナンバーに一元化(msn産経ニュースより)

・企業でも対策が必須!「マイナンバー制度」(NECより)開発に携わっているはずなので説得力はあります(ページ3まであり)

・預金口座にマイナンバー連結(日本経済新聞より)

・マイナンバー法の概要と銀行における活用可能性(みずほ情報総研より)
施行に対して、課題や懸念材料を的確に記載しています(おすすめ)

<補足事項>

・上記、ITproからリンクされているものは、全ての情報を閲覧する場合会員登録(無料)が必要となっています(ご了承ください)

・マイナンバー法についてまだまだ気になると言う方は、内閣府ホームページ内の税制調査会などで随時公開されています。

*****     まとめ     *****
  • マイナンバーをいかに周知させるかが最大のカギ
    施行予定は2016年ですが、上手く計画通りに開発が進んでも全国民に周知させなければ自治体の負担、果ては税金の無駄遣いで終わってしまいます。
    周知を怠るとシステム自体が出来上がっても機能しない事が起こりえます。
    徹底周知と国民への丁寧な説明がガギをにぎります。
  • セキュリティの課題
    住民基本台帳カードの場合、扱う情報量は氏名や住所など最低限に限られていましたがマイナンバーの場合扱う情報量が膨大になる可能性がある為、懸念材料となっています。
    施行されて見ないとなんとも言えませんが、個人情報保護の問題もありクリアしなければならない課題は山積みです。
    世の中はクラウドやビッグデータが進んでいますが、大量のデータを利用する事はメリットにつながりますが、逆に大きなデメリットを生む事も事実です。
    施行後に監視社会と言われない為にも、国民への丁寧な説明責任が問われます。
【468*60】特価品
Pocket

サーバー改ざん被害は人ごとではない時代

ここの所サーバー改ざんによる二次的被害が増加するばかりで、これによるユーザーのウイルス感染被害も人ごとではなくなってきました。

では本題です

5月下旬に起きたバッファローのダウンロードサービスによる被害は、韓国CDNetworksのサーバー改ざんが関与していたと報告されています。
サイトを閲覧するだけでウイルス感染するやっかいなものです。

原因はAdobeFlashPlayerの脆弱性

韓国CDNetworksのサーバー改ざんは、AdobeFlashPlayerの脆弱性を突いてウイルスが組み込まれていた為、被害の拡大に至った模様で大手セキュリティベンダーのシマンテックも警告しています。

株式会社シーディーネットワークス・ジャパンとはネットワーク関連企業で、韓国法人からはじまり、現在はKDDIの系列企業らしいですが、はじめて知りました。(株式会社シーディーネットワークス・ジャパン ウィキペディアより)

2014年6月11日現在、プレスリリースでセキュリティ被害のお知らせとして追加更新されていますが肝心の被害状況が記載されておらず、企業体質が疑われても仕方ないと思います。

プレスリリースより影響を受けた被害サイト(各社の被害報告など)

・GMOペパボのブログサービス「JUGEM」
【JUGEM】【解決済み】ブログやポータルサイト閲覧時、ウィルス対策ソフトが動作する件について

・エイチ・アイ・エス(HIS)及びリクルートマーケティングパートナーズ
株式会社エイチ・アス告知(pdf) リクルートマーケティングパートナーズ

他にも被害を受けた可能性があるとしながらも、詳細な公表には踏み切っていません。

ネットバンキング利用者は注意

今回のウイルスは、ネットバンキング利用者が標的だった様で、バッファローのサイトからも、その内容が読みとれます。

バッファローダウンロードサイトのウイルス混入によるお詫びとご報告より

参照リンク

・バッファローのウイルス感染は、CDNetworksの改ざん被害が関与(ITPROより)

・Flashの脆弱性を突く攻撃、シマンテックが警告(ITPROより)

・アドビFlash Playerの状況確認(最新版がインストールされているか確認できます)

*****     まとめ     *****
  • サイト閲覧で感染のリスク
    サイトを見ただけ、ダウンロードしただけでウイルス感染、被害は止まりません。
    大手セキュリティベンダーも前から述べている様に、ウイルス駆除ソフトではもはや限界があるとしています。
  • 分からないでは済まない時代に突入している
    今回のターゲットはネットバンキング利用者でしたが、ネットバンキング利用者はその利便性から年々増加し、また被害も増加しているのが分かります。
    Web感染で被害にあわない為にも、また、仮にあってしまっても最小限で済む様に複数サイトで同じパスワードを使うなどは絶対NGですので最低限の知識は頭に入れて置きたいものです。
  • 常に最新の環境で使用する
    今回はサーバー改ざんの原因がAdobeFlashPlayerの脆弱性でしたが、パソコンは使用環境で違いが出るものの、色々なソフトの集まりで機能しています。
    最新バージョンのソフトをインストールして思わぬ不具合が出たなんて事もありますが、基本的には「ご自分の使用環境を最低限理解」して「常に最新に保つ事」が今ユーザー側で出来る作業だと思っています。
Pocket

まだ残るOpenSSLの問題

最近は、IEの脆弱性の問題が大きく取り上げられた為、OpenSSLの問題がすっかり置き去りにされていましたが、問題もまだまだあるようです。

では本題です

下記参考リンクのOpenSSLの問題をざっくり要約すると

「オープンソースなんだけれども、外部からの不具合の指摘が何年も放置され、
修正されず中身がボロボロのポンコツ・・・」
といった感じでしょうか。

<上記の要約がざっくり過ぎたので記事を追加しておきます:2014年5月20日追加↓

通常、オープンソースとは有志が良いものへ改良していくものですが、OpenSSL場合、独自のプログラム構造になっている事や、数多くのOSをサポート対象としている事から、構造が極めて複雑になり、外部から不具合の指摘があっても、あまりに分かりづらいプログラムになってしまった為、緊急時以外は対応できなかった、もしくは対応しなかったと思われます。

そこで、OpenBSDプロジェクトの開発者が、このままではセキュリティを保障できないと判断し、
OpenSSLからLibreSSLを派生させ、別プロジェクトとして取り組むことにしたというのが経緯らしいです。

今後、OpenSSLからLibreSSLへの移行を進める可能性があるともしています。(記事一部抜粋)

簡単な例を挙げると

一台のパソコンの中にあるひとつのファイルを、何十人の人たちが共通で触りまくり肝心のファイルの元内容がぐちゃぐちゃになり、読み取るのが困難になった状態に似ています。(OpenSSLの不具合は例題とは深刻度が比べ物になりませんが)

なお、LibreSSLについては開発が始まったばかりの様で、参考に出来るサイトがあまりない事から今回は省略いたします。

<2014年5月20日追加↑>

今回の問題は、OpenBSDプロジェクトの開発者が指摘した問題となっており将来OpenSSLという名前で無くなる可能性が出てきました。

また、OpenBSDとはオープンなオペレーティングシステムであって、OpenSSL(暗号化ソフトウェアライブラリ)とは異なります。

残る脆弱性サイト

OpenSSLについては、ほぼ対応が終わっている様ですが、まだ対応していないサイトも若干ではあるけれども残っている様です。

参考リンク

・OpenSSLにはこんなに問題が(マイナビニュースより)

・海外SSLサーバー診断サイト
Qualys SSL LabsによるSSLサーバー診断サイト
(OpenSSLをはじめ、詳細な情報がランク形式で確認できる為、参考になります)

Pocket

ついに来たOpenSSL対応サイトからのお願い

ついに来たかって感じでしたが、幸いにも情報をもらっているだけのサイトだったので
「パスワードをご変更いただくことを強く推奨いたします」という事でパスワード変更だけで済みました。

では本題です

今回の案内は、迷惑メールでは無い事をサイト元や、登録メールで確認を取った上で変更を行いましたので問題はないと思います。

パスワード変更は充分確認を取ってから

今回の様に、サイトから対応完了のアナウンスがあってから、もしくは、「データ暗号化ソフト「オープンSSL」で脆弱性」で紹介した Heartbleed脆弱性検査を行い、OKであればパスワード変更した方が良いと思います。

OpenSSLの脆弱性の対応が終わってないサイトに対してパスワード変更して、その後サイトから対応終わりましたとアナウンスがあった場合、もう一度変更をしなくてはならず2度手間になってしまいます。

複数サイトでのパスワード使いまわしは危険

これは前々から言われている事ですが、例えば管理しているサイトが3つあったとします。

仮にサイトA、B、Cとしましょう。

パスワード変更が面倒だと、すべて同じID、パスワードにしていた場合Aのサイトが被害にあった時、B、Cのサイトも同じだと、Aサイトで盗まれたID、パスワードからB、Cのサイトへいもづる式に被害にあう可能性があります。

パスワード管理には無料のソフトがいろいろ出ていますので複数サイトを管理する場合はこの手のツールに頼った方が効率と安全性が確保できます。

参考リンク(Heartbleed脆弱性検査サイト)

・シマンテック(SSL Certificate Checker)

・海外サイト(ハートブリード検査)

その他

・IPA 独立行政法人 情報処理推進機構

OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

OpenSSLの表記について

上記サイト、IPAやセキュリティベンダーは「OpenSSL」としている事から今後の記事に関しては「OpenSSL」表記に統一していきたいと思います。
なお、すでにUPした記事の表記に関しては 記事全体に問題が生じなければ修正はしない事にしています。

Pocket

三菱UFJニコスOpenSSLで情報流失か

クレジットカード会社の三菱UFJニコスにオープンSSLの脆弱性を突いたアクセスがあり、顧客情報が流失した可能性があるとしています。(4月19日現在)(各メディア記事より抜粋)

カードの悪用は報告されていないとしていますが、国内で今回のバグに関して被害報道されるのは初となります。

WindowsXP騒動と重なった事

海外では脆弱性については大騒ぎになっており、カナダでは逮捕者も出ていると言うのに国内ではXPサポート終了騒動で手がいっぱいなのでしょうか。

個人的にはXPは最終パッチが出たので、オープンSSLの脆弱性の深刻度に注意してもらいたいと思うのですが、どうも対応の遅れとしか思えません。
通販サイトも膨大にあるのにのんびりしすぎなのではと思います。

今回のオープンSSLの脆弱性で大手サイトも結構使っている事が分かり、カード決済をインターネットで行っている全ての方が他人事ではなくなった気がします。

すべてのユーザーに注意が必要

未対応サイトのパスワード変更はもちろんですが、大手セキュリティーベンダーのシマンテックによると、今回の脆弱性はクライアントすべてが対象になる可能性があるとしており、その範囲もソフトウェアに限らず幅広い分野が指摘されています。(詳しくは下記参照リンクから)

なら、どうすれば良いのかと不安になりますが、ユーザー側では使用しているサイトがOpenSSLかなんて事は分かる訳がありませんので、ネットでクレジットカード決済している口座は明細確認をする事が大事で、それでも不安であれば直接確認を取るべきです。

今後、どの程度被害がでるか検討もつきませんが、最小限で済む事を願っております。

参考サイト

・脆弱性突き、カナダで逮捕者(ITPROより)

・ heartbleed によってクライアントやモノのインターネットデバイスもリスクにさらされる恐れ(シマンテック:セキュリティブログより)

・モノのインターネットとは

 

ノートンモバイルセキュリティバナー
Pocket

データ暗号化ソフト「オープンSSL」で脆弱性

暗号化ソフトの「オープンSSL」で脆弱性が発見され、ネット決済などの根底を揺るがす世界的大ニュースとなっています。

では本題です

オープンSSLのバグで何が危険か

SSL(Secure Sockets Layer)とは個人情報やネット決済情報を安全にやりとりする為の欠かせないシステムです。

オープンSSLとは(IT用語辞典より)

一般的にはこれですね(ヤフーログインより)

ヤフーログイン

アドレスのhttpの後ろにsがついていればSSL対応となる訳ですが、

このSSLのオープンSSLで見つかったバグ(深刻な不具合)が約2年間も気づかれずに放置状態だった事が世界中で大騒ぎになっている訳です。

つまり、2年間個人情報(決済など)がダダ漏れだった可能性が否定できない事と、ユーザー側としてはパスワードを変える位しか出来ないのが現状だという事です。
さらにはアタックされたログ(記録)が残らないそうなので、追跡が不可能と最悪です。

オープンSSLと深刻度

オープンとある通り、誰でもスキルがあれば自由に利用できる為、かなりネットに浸透しているのは確実で、今回のバグについて大手セキュリティベンダーも「深刻」と警戒しています。

一般ユーザーが危険サイトを確認できる方法

今回のバグは、オープンSSLに潜んでいたハートブリードと呼ばれるものらしいですが、今の所、下記サイトにて安全性が確認できます。
(完全な保障を約束するものではありません)ネットエージェント株式会社(Heartbleed脆弱性検査)(現在は閉鎖)

ネットエージェント

ヤフーログインアドレスで確認しましたが、問題ありませんでした。

サイトのhttp://は省いて検査してみてください。

海外サイト(ハートブリード検査) Test your server for Heartbleed

こちらはアドレスをそのまま入力が可能で、All goodと表示されればOKです。

例えば、Amazonであればhttp://www.amazon.co.jp/ではなく、http://の最後にがついているアドレスを指定するか、を付けて検査するとOKになります。
(もしくは、ログインする際にhttps://が付きますのでそちらを指定するなど)(2014年5月補足)

<補足>

チェックにあたり、ログイン画面にSSL指定がないサイト(例:FC2など)はログイン時にセキュリティサーバーを一瞬通る事がありますので、そのアドレスをチェックしないと意味がありません。

ちなみに、管理人がチェックした時はOKでした。

参考サイト

・ロイターより(暗号化ソフトに重大なバグ)

・一般ユーザーの為のOpenSSL脆弱性おさらい(ITPROより)(2014年5月追加)

*****     まとめ     *****
  • ユーザー側の対応
    これらの不具合はサイト管理者が対応しなければ放置状態です。
    オープンソースとはいえ、約2年も不具合が放置されていたらしいのでそれは世界が大騒ぎでしょう。

    残念ですがユーザー側で出来る事はありません。

    上記検査サイトでアウトになったサイトを使用していればサイトの対応を待つか、パスワードを変更するくらいしかないと思います。
    また、パスワード変更は今回に限らず変更のくせはつけておき、
    複数サイトで同じIDやパスワード使用などは禁止した方がセキュリティ上安全です。

  • 大手サイトの対応
    ネット決済やバンキングで気になる方が一番だと思いますがAmazonなど大手は問題ないとしているそうです。
    ですが、対応しましたという所は気をつけた方が良いと思います。
    過去の取引がバグ発覚まで放置状態だった可能性がありますので。
  • SSL導入にはお金がかかる
    大手優良サイトや官公庁は多少金額が高かろうが大手のSSL導入サービスを選びます。
    個人でレンタルサーバーなどを運営された方は分かると思いますがSSL対応サイトにはとにかく導入コストがかかります。
    その為、個人情報を入力する画面なのにSSL対応されていないサイトもたまに見かけます。
    そんな背景もあり、オープンSSLが現在世界に広まり大きな騒ぎになった原因だと思います。

オープンソフトとはいえ、SSLサイトが危険にさらされてはネットでの信頼性が根底から崩れかねません。

オープンSSLで過去、どれほどの情報が外部に漏れたかは分かるはずもありませんが、大手サイトくらいは信頼性の高い暗号証明証発行サイトを使用してもらいたいものです。

オープンSSLの表記及び補足事項

  • オープンSSLの表記について(2014年4月24日記事より「OpenSSL」に統一致しました。)当初、「オープンSSL」か「OpenSSL」で迷ったのですが、ボランティア団体がオープンソースとして開発している為、オープンSSLでもいいやという結論になりました。どちらも意味は同じです。
  • OpenSSL日本語サイト(文字化けする場合は、ブラウザの表示からエンコードを自動判別にしてみてください) また「データ暗号化ソフト」ではなく「データ通信暗号化」であるとしているサイトも見かけますが確かにプロトコルという通信手段の一部である事から分からない訳ではないのですが、一般ユーザーからしてみればそこまで詳しくないですし、情報が正確に伝われば良いと思います。
    SSL表記で統一するのは問題ですが、使用サイトが危険か危険じゃないかが分かれば良い話です。
    プロトコルとは(IT用語辞典より)
  • 今後一番注意しなければいけない事
    暗号化ソフトの不具合が大規模に発生した事により、今後パスワード変更に関する迷惑メールなどが増えると思われます。

    【例】「弊社サイトがこのたび発生致しました暗号化の不具合により・・・中略・・・至急下記アドレスよりパスワード変更をおねがい致します・・・」とか、ご自分が現在使用しているSSL対応のサイトを確認、もしくは問い合わせの上、迷惑メールやサイトの誘導には引っかからない様に気を付けてください。

    しっかりした所は対応済みかどうかなど必ず教えてくれます。

Pocket