タグ: バグ

データ暗号化ソフト「オープンSSL」で脆弱性

暗号化ソフトの「オープンSSL」で脆弱性が発見され、ネット決済などの根底を揺るがす世界的大ニュースとなっています。

では本題です

オープンSSLのバグで何が危険か

SSL(Secure Sockets Layer)とは個人情報やネット決済情報を安全にやりとりする為の欠かせないシステムです。

オープンSSLとは(IT用語辞典より)

一般的にはこれですね(ヤフーログインより)

ヤフーログイン

アドレスのhttpの後ろにsがついていればSSL対応となる訳ですが、

このSSLのオープンSSLで見つかったバグ(深刻な不具合)が約2年間も気づかれずに放置状態だった事が世界中で大騒ぎになっている訳です。

つまり、2年間個人情報(決済など)がダダ漏れだった可能性が否定できない事と、ユーザー側としてはパスワードを変える位しか出来ないのが現状だという事です。
さらにはアタックされたログ(記録)が残らないそうなので、追跡が不可能と最悪です。

オープンSSLと深刻度

オープンとある通り、誰でもスキルがあれば自由に利用できる為、かなりネットに浸透しているのは確実で、今回のバグについて大手セキュリティベンダーも「深刻」と警戒しています。

一般ユーザーが危険サイトを確認できる方法

今回のバグは、オープンSSLに潜んでいたハートブリードと呼ばれるものらしいですが、今の所、下記サイトにて安全性が確認できます。
(完全な保障を約束するものではありません)ネットエージェント株式会社(Heartbleed脆弱性検査)(現在は閉鎖)

ネットエージェント

ヤフーログインアドレスで確認しましたが、問題ありませんでした。

サイトのhttp://は省いて検査してみてください。

海外サイト(ハートブリード検査) Test your server for Heartbleed

こちらはアドレスをそのまま入力が可能で、All goodと表示されればOKです。

例えば、Amazonであればhttp://www.amazon.co.jp/ではなく、http://の最後にがついているアドレスを指定するか、を付けて検査するとOKになります。
(もしくは、ログインする際にhttps://が付きますのでそちらを指定するなど)(2014年5月補足)

<補足>

チェックにあたり、ログイン画面にSSL指定がないサイト(例:FC2など)はログイン時にセキュリティサーバーを一瞬通る事がありますので、そのアドレスをチェックしないと意味がありません。

ちなみに、管理人がチェックした時はOKでした。

参考サイト

・ロイターより(暗号化ソフトに重大なバグ)

・一般ユーザーの為のOpenSSL脆弱性おさらい(ITPROより)(2014年5月追加)

*****     まとめ     *****
  • ユーザー側の対応
    これらの不具合はサイト管理者が対応しなければ放置状態です。
    オープンソースとはいえ、約2年も不具合が放置されていたらしいのでそれは世界が大騒ぎでしょう。

    残念ですがユーザー側で出来る事はありません。

    上記検査サイトでアウトになったサイトを使用していればサイトの対応を待つか、パスワードを変更するくらいしかないと思います。
    また、パスワード変更は今回に限らず変更のくせはつけておき、
    複数サイトで同じIDやパスワード使用などは禁止した方がセキュリティ上安全です。

  • 大手サイトの対応
    ネット決済やバンキングで気になる方が一番だと思いますがAmazonなど大手は問題ないとしているそうです。
    ですが、対応しましたという所は気をつけた方が良いと思います。
    過去の取引がバグ発覚まで放置状態だった可能性がありますので。
  • SSL導入にはお金がかかる
    大手優良サイトや官公庁は多少金額が高かろうが大手のSSL導入サービスを選びます。
    個人でレンタルサーバーなどを運営された方は分かると思いますがSSL対応サイトにはとにかく導入コストがかかります。
    その為、個人情報を入力する画面なのにSSL対応されていないサイトもたまに見かけます。
    そんな背景もあり、オープンSSLが現在世界に広まり大きな騒ぎになった原因だと思います。

オープンソフトとはいえ、SSLサイトが危険にさらされてはネットでの信頼性が根底から崩れかねません。

オープンSSLで過去、どれほどの情報が外部に漏れたかは分かるはずもありませんが、大手サイトくらいは信頼性の高い暗号証明証発行サイトを使用してもらいたいものです。

オープンSSLの表記及び補足事項

  • オープンSSLの表記について(2014年4月24日記事より「OpenSSL」に統一致しました。)当初、「オープンSSL」か「OpenSSL」で迷ったのですが、ボランティア団体がオープンソースとして開発している為、オープンSSLでもいいやという結論になりました。どちらも意味は同じです。
  • OpenSSL日本語サイト(文字化けする場合は、ブラウザの表示からエンコードを自動判別にしてみてください) また「データ暗号化ソフト」ではなく「データ通信暗号化」であるとしているサイトも見かけますが確かにプロトコルという通信手段の一部である事から分からない訳ではないのですが、一般ユーザーからしてみればそこまで詳しくないですし、情報が正確に伝われば良いと思います。
    SSL表記で統一するのは問題ですが、使用サイトが危険か危険じゃないかが分かれば良い話です。
    プロトコルとは(IT用語辞典より)
  • 今後一番注意しなければいけない事
    暗号化ソフトの不具合が大規模に発生した事により、今後パスワード変更に関する迷惑メールなどが増えると思われます。

    【例】「弊社サイトがこのたび発生致しました暗号化の不具合により・・・中略・・・至急下記アドレスよりパスワード変更をおねがい致します・・・」とか、ご自分が現在使用しているSSL対応のサイトを確認、もしくは問い合わせの上、迷惑メールやサイトの誘導には引っかからない様に気を付けてください。

    しっかりした所は対応済みかどうかなど必ず教えてくれます。

Pocket