タグ: OpenSSL

まだ残るOpenSSLの問題

最近は、IEの脆弱性の問題が大きく取り上げられた為、OpenSSLの問題がすっかり置き去りにされていましたが、問題もまだまだあるようです。

では本題です

下記参考リンクのOpenSSLの問題をざっくり要約すると

「オープンソースなんだけれども、外部からの不具合の指摘が何年も放置され、
修正されず中身がボロボロのポンコツ・・・」
といった感じでしょうか。

<上記の要約がざっくり過ぎたので記事を追加しておきます:2014年5月20日追加↓

通常、オープンソースとは有志が良いものへ改良していくものですが、OpenSSL場合、独自のプログラム構造になっている事や、数多くのOSをサポート対象としている事から、構造が極めて複雑になり、外部から不具合の指摘があっても、あまりに分かりづらいプログラムになってしまった為、緊急時以外は対応できなかった、もしくは対応しなかったと思われます。

そこで、OpenBSDプロジェクトの開発者が、このままではセキュリティを保障できないと判断し、
OpenSSLからLibreSSLを派生させ、別プロジェクトとして取り組むことにしたというのが経緯らしいです。

今後、OpenSSLからLibreSSLへの移行を進める可能性があるともしています。(記事一部抜粋)

簡単な例を挙げると

一台のパソコンの中にあるひとつのファイルを、何十人の人たちが共通で触りまくり肝心のファイルの元内容がぐちゃぐちゃになり、読み取るのが困難になった状態に似ています。(OpenSSLの不具合は例題とは深刻度が比べ物になりませんが)

なお、LibreSSLについては開発が始まったばかりの様で、参考に出来るサイトがあまりない事から今回は省略いたします。

<2014年5月20日追加↑>

今回の問題は、OpenBSDプロジェクトの開発者が指摘した問題となっており将来OpenSSLという名前で無くなる可能性が出てきました。

また、OpenBSDとはオープンなオペレーティングシステムであって、OpenSSL(暗号化ソフトウェアライブラリ)とは異なります。

残る脆弱性サイト

OpenSSLについては、ほぼ対応が終わっている様ですが、まだ対応していないサイトも若干ではあるけれども残っている様です。

参考リンク

・OpenSSLにはこんなに問題が(マイナビニュースより)

・海外SSLサーバー診断サイト
Qualys SSL LabsによるSSLサーバー診断サイト
(OpenSSLをはじめ、詳細な情報がランク形式で確認できる為、参考になります)

Pocket

ついに来たOpenSSL対応サイトからのお願い

ついに来たかって感じでしたが、幸いにも情報をもらっているだけのサイトだったので
「パスワードをご変更いただくことを強く推奨いたします」という事でパスワード変更だけで済みました。

では本題です

今回の案内は、迷惑メールでは無い事をサイト元や、登録メールで確認を取った上で変更を行いましたので問題はないと思います。

パスワード変更は充分確認を取ってから

今回の様に、サイトから対応完了のアナウンスがあってから、もしくは、「データ暗号化ソフト「オープンSSL」で脆弱性」で紹介した Heartbleed脆弱性検査を行い、OKであればパスワード変更した方が良いと思います。

OpenSSLの脆弱性の対応が終わってないサイトに対してパスワード変更して、その後サイトから対応終わりましたとアナウンスがあった場合、もう一度変更をしなくてはならず2度手間になってしまいます。

複数サイトでのパスワード使いまわしは危険

これは前々から言われている事ですが、例えば管理しているサイトが3つあったとします。

仮にサイトA、B、Cとしましょう。

パスワード変更が面倒だと、すべて同じID、パスワードにしていた場合Aのサイトが被害にあった時、B、Cのサイトも同じだと、Aサイトで盗まれたID、パスワードからB、Cのサイトへいもづる式に被害にあう可能性があります。

パスワード管理には無料のソフトがいろいろ出ていますので複数サイトを管理する場合はこの手のツールに頼った方が効率と安全性が確保できます。

参考リンク(Heartbleed脆弱性検査サイト)

・シマンテック(SSL Certificate Checker)

・海外サイト(ハートブリード検査)

その他

・IPA 独立行政法人 情報処理推進機構

OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

OpenSSLの表記について

上記サイト、IPAやセキュリティベンダーは「OpenSSL」としている事から今後の記事に関しては「OpenSSL」表記に統一していきたいと思います。
なお、すでにUPした記事の表記に関しては 記事全体に問題が生じなければ修正はしない事にしています。

Pocket

三菱UFJニコスOpenSSLで情報流失か

クレジットカード会社の三菱UFJニコスにオープンSSLの脆弱性を突いたアクセスがあり、顧客情報が流失した可能性があるとしています。(4月19日現在)(各メディア記事より抜粋)

カードの悪用は報告されていないとしていますが、国内で今回のバグに関して被害報道されるのは初となります。

WindowsXP騒動と重なった事

海外では脆弱性については大騒ぎになっており、カナダでは逮捕者も出ていると言うのに国内ではXPサポート終了騒動で手がいっぱいなのでしょうか。

個人的にはXPは最終パッチが出たので、オープンSSLの脆弱性の深刻度に注意してもらいたいと思うのですが、どうも対応の遅れとしか思えません。
通販サイトも膨大にあるのにのんびりしすぎなのではと思います。

今回のオープンSSLの脆弱性で大手サイトも結構使っている事が分かり、カード決済をインターネットで行っている全ての方が他人事ではなくなった気がします。

すべてのユーザーに注意が必要

未対応サイトのパスワード変更はもちろんですが、大手セキュリティーベンダーのシマンテックによると、今回の脆弱性はクライアントすべてが対象になる可能性があるとしており、その範囲もソフトウェアに限らず幅広い分野が指摘されています。(詳しくは下記参照リンクから)

なら、どうすれば良いのかと不安になりますが、ユーザー側では使用しているサイトがOpenSSLかなんて事は分かる訳がありませんので、ネットでクレジットカード決済している口座は明細確認をする事が大事で、それでも不安であれば直接確認を取るべきです。

今後、どの程度被害がでるか検討もつきませんが、最小限で済む事を願っております。

参考サイト

・脆弱性突き、カナダで逮捕者(ITPROより)

・ heartbleed によってクライアントやモノのインターネットデバイスもリスクにさらされる恐れ(シマンテック:セキュリティブログより)

・モノのインターネットとは

 

ノートンモバイルセキュリティバナー
Pocket

データ暗号化ソフト「オープンSSL」で脆弱性

暗号化ソフトの「オープンSSL」で脆弱性が発見され、ネット決済などの根底を揺るがす世界的大ニュースとなっています。

では本題です

オープンSSLのバグで何が危険か

SSL(Secure Sockets Layer)とは個人情報やネット決済情報を安全にやりとりする為の欠かせないシステムです。

オープンSSLとは(IT用語辞典より)

一般的にはこれですね(ヤフーログインより)

ヤフーログイン

アドレスのhttpの後ろにsがついていればSSL対応となる訳ですが、

このSSLのオープンSSLで見つかったバグ(深刻な不具合)が約2年間も気づかれずに放置状態だった事が世界中で大騒ぎになっている訳です。

つまり、2年間個人情報(決済など)がダダ漏れだった可能性が否定できない事と、ユーザー側としてはパスワードを変える位しか出来ないのが現状だという事です。
さらにはアタックされたログ(記録)が残らないそうなので、追跡が不可能と最悪です。

オープンSSLと深刻度

オープンとある通り、誰でもスキルがあれば自由に利用できる為、かなりネットに浸透しているのは確実で、今回のバグについて大手セキュリティベンダーも「深刻」と警戒しています。

一般ユーザーが危険サイトを確認できる方法

今回のバグは、オープンSSLに潜んでいたハートブリードと呼ばれるものらしいですが、今の所、下記サイトにて安全性が確認できます。
(完全な保障を約束するものではありません)ネットエージェント株式会社(Heartbleed脆弱性検査)(現在は閉鎖)

ネットエージェント

ヤフーログインアドレスで確認しましたが、問題ありませんでした。

サイトのhttp://は省いて検査してみてください。

海外サイト(ハートブリード検査) Test your server for Heartbleed

こちらはアドレスをそのまま入力が可能で、All goodと表示されればOKです。

例えば、Amazonであればhttp://www.amazon.co.jp/ではなく、http://の最後にがついているアドレスを指定するか、を付けて検査するとOKになります。
(もしくは、ログインする際にhttps://が付きますのでそちらを指定するなど)(2014年5月補足)

<補足>

チェックにあたり、ログイン画面にSSL指定がないサイト(例:FC2など)はログイン時にセキュリティサーバーを一瞬通る事がありますので、そのアドレスをチェックしないと意味がありません。

ちなみに、管理人がチェックした時はOKでした。

参考サイト

・ロイターより(暗号化ソフトに重大なバグ)

・一般ユーザーの為のOpenSSL脆弱性おさらい(ITPROより)(2014年5月追加)

*****     まとめ     *****
  • ユーザー側の対応
    これらの不具合はサイト管理者が対応しなければ放置状態です。
    オープンソースとはいえ、約2年も不具合が放置されていたらしいのでそれは世界が大騒ぎでしょう。

    残念ですがユーザー側で出来る事はありません。

    上記検査サイトでアウトになったサイトを使用していればサイトの対応を待つか、パスワードを変更するくらいしかないと思います。
    また、パスワード変更は今回に限らず変更のくせはつけておき、
    複数サイトで同じIDやパスワード使用などは禁止した方がセキュリティ上安全です。

  • 大手サイトの対応
    ネット決済やバンキングで気になる方が一番だと思いますがAmazonなど大手は問題ないとしているそうです。
    ですが、対応しましたという所は気をつけた方が良いと思います。
    過去の取引がバグ発覚まで放置状態だった可能性がありますので。
  • SSL導入にはお金がかかる
    大手優良サイトや官公庁は多少金額が高かろうが大手のSSL導入サービスを選びます。
    個人でレンタルサーバーなどを運営された方は分かると思いますがSSL対応サイトにはとにかく導入コストがかかります。
    その為、個人情報を入力する画面なのにSSL対応されていないサイトもたまに見かけます。
    そんな背景もあり、オープンSSLが現在世界に広まり大きな騒ぎになった原因だと思います。

オープンソフトとはいえ、SSLサイトが危険にさらされてはネットでの信頼性が根底から崩れかねません。

オープンSSLで過去、どれほどの情報が外部に漏れたかは分かるはずもありませんが、大手サイトくらいは信頼性の高い暗号証明証発行サイトを使用してもらいたいものです。

オープンSSLの表記及び補足事項

  • オープンSSLの表記について(2014年4月24日記事より「OpenSSL」に統一致しました。)当初、「オープンSSL」か「OpenSSL」で迷ったのですが、ボランティア団体がオープンソースとして開発している為、オープンSSLでもいいやという結論になりました。どちらも意味は同じです。
  • OpenSSL日本語サイト(文字化けする場合は、ブラウザの表示からエンコードを自動判別にしてみてください) また「データ暗号化ソフト」ではなく「データ通信暗号化」であるとしているサイトも見かけますが確かにプロトコルという通信手段の一部である事から分からない訳ではないのですが、一般ユーザーからしてみればそこまで詳しくないですし、情報が正確に伝われば良いと思います。
    SSL表記で統一するのは問題ですが、使用サイトが危険か危険じゃないかが分かれば良い話です。
    プロトコルとは(IT用語辞典より)
  • 今後一番注意しなければいけない事
    暗号化ソフトの不具合が大規模に発生した事により、今後パスワード変更に関する迷惑メールなどが増えると思われます。

    【例】「弊社サイトがこのたび発生致しました暗号化の不具合により・・・中略・・・至急下記アドレスよりパスワード変更をおねがい致します・・・」とか、ご自分が現在使用しているSSL対応のサイトを確認、もしくは問い合わせの上、迷惑メールやサイトの誘導には引っかからない様に気を付けてください。

    しっかりした所は対応済みかどうかなど必ず教えてくれます。

Pocket