タグ: SSL

SSL3.0の脆弱性発覚で運営側続々と対応

SSL3.0という通信プロトコルに深刻な不具合が発覚した為、サーバー運営側や、ユーザー側にも対応が推奨されてきています。

では本題です

SSL3.0の脆弱性対応や廃止が続々と発表されていますが、深刻な不具合とはいえ、相当複雑な条件下で発生するらしいので対応する事は推奨されますが、今の所あせる必要はなさそうです。

登場からほぼ18年で幕をおろすSSL3.0

元々、前の規格SSL2.0に脆弱性があった為、互換として発表されたものだったのですが、ほぼ18年で幕をおろす事になりました。

年数の訂正ほぼ15年で幕をおろす事になりましたGoogle Online Security Blogより、年数の訂正を致しました。

[Updated Oct 15 to note that SSL 3.0 is nearly 18 years old, not nearly 15 years old.] SSL3.0はほぼ15歳ではなく、ほぼ18歳であることに注意することを10月15日に更新いたしました。

Web翻訳の為、若干の違いがあるかもしれません。

近年は、TLS(ウィキペディアより)と言われる後継の通信プロトコルが主流になりつつありますが、SSL3.0もまだ多く使われている事から対応の推奨をしている訳です。

ユーザー側の対応策

深刻な不具合には違いありませんが、ほぼ運営側にまかせるしかないと思います。
普通にブラウザでネットを閲覧しているだけであれば、常に最新のバージョンにしておけばまず問題ないと考えています。

ただし、あまり古いブラウザや、サーバー運営側が対応していないとまれに問題が起こる可能性は否定できません。
対応策などは、IPA(独立行政法人 情報処理推進機構)からアナウンスされています。

対策サーバもしくはクライアントのどちらか一方で、SSL3.0を無効化することで対策できます。
なお、SSL3.0を無効化することで次の影響を受ける可能性があります。
・サーバ側でSSL3.0を無効にした場合一部のクライアントから接続ができなくなる可能性があります。
・クライアント側でSSL3.0を無効にした場合一部のサーバに接続できなくなる可能性があります。

IPA独立行政法人情報処理推進機構より

IPA独立行政法人情報処理推進機構によると、対処方法はサーバー運営側とユーザー側に分かれていますが、ユーザー側であればブラウザの更新に伴い、SSL3.0が無効化される方向にありますのであまり気にする必要はなさそうです。

参照リンク

・SSL3.0に深刻なセキュリティ脆弱性-Googleが発見(マイナビニュースより)

・SSL3.0の脆弱性対策について(IPA独立行政法人情報処理推進機構より) 対応情報など随時更新中

*****     まとめ     *****
  • 推奨レベルでも対応は必要
    複雑な条件下で起こる不具合とはいえ、ユーザー側であれば常にブラウザを最新状態に保っておく事が重要だと思います。
    使用ブラウザがIEであれば、ツール→→インターネットオプション→→詳細設定で「SSL3.0を使用する」という項目がありますのでチェックをはずして適用してください。
    これでどこかのサイトが反応しなくなった場合、その運営側の対応が済んでいない可能性があります。
  • 対応を迫られるサーバー運営側
    SSL3.0で運営している所はそんなに多くはないとの情報ですが、世界的に見たらまだまだ使っている所は多いはずです。
    その弊害を出さない為にも運営側には迅速な対応をお願いしたい所です。
ソニーストア
Pocket

データ暗号化ソフト「オープンSSL」で脆弱性

暗号化ソフトの「オープンSSL」で脆弱性が発見され、ネット決済などの根底を揺るがす世界的大ニュースとなっています。

では本題です

オープンSSLのバグで何が危険か

SSL(Secure Sockets Layer)とは個人情報やネット決済情報を安全にやりとりする為の欠かせないシステムです。

オープンSSLとは(IT用語辞典より)

一般的にはこれですね(ヤフーログインより)

ヤフーログイン

アドレスのhttpの後ろにsがついていればSSL対応となる訳ですが、

このSSLのオープンSSLで見つかったバグ(深刻な不具合)が約2年間も気づかれずに放置状態だった事が世界中で大騒ぎになっている訳です。

つまり、2年間個人情報(決済など)がダダ漏れだった可能性が否定できない事と、ユーザー側としてはパスワードを変える位しか出来ないのが現状だという事です。
さらにはアタックされたログ(記録)が残らないそうなので、追跡が不可能と最悪です。

オープンSSLと深刻度

オープンとある通り、誰でもスキルがあれば自由に利用できる為、かなりネットに浸透しているのは確実で、今回のバグについて大手セキュリティベンダーも「深刻」と警戒しています。

一般ユーザーが危険サイトを確認できる方法

今回のバグは、オープンSSLに潜んでいたハートブリードと呼ばれるものらしいですが、今の所、下記サイトにて安全性が確認できます。
(完全な保障を約束するものではありません)ネットエージェント株式会社(Heartbleed脆弱性検査)(現在は閉鎖)

ネットエージェント

ヤフーログインアドレスで確認しましたが、問題ありませんでした。

サイトのhttp://は省いて検査してみてください。

海外サイト(ハートブリード検査) Test your server for Heartbleed

こちらはアドレスをそのまま入力が可能で、All goodと表示されればOKです。

例えば、Amazonであればhttp://www.amazon.co.jp/ではなく、http://の最後にがついているアドレスを指定するか、を付けて検査するとOKになります。
(もしくは、ログインする際にhttps://が付きますのでそちらを指定するなど)(2014年5月補足)

<補足>

チェックにあたり、ログイン画面にSSL指定がないサイト(例:FC2など)はログイン時にセキュリティサーバーを一瞬通る事がありますので、そのアドレスをチェックしないと意味がありません。

ちなみに、管理人がチェックした時はOKでした。

参考サイト

・ロイターより(暗号化ソフトに重大なバグ)

・一般ユーザーの為のOpenSSL脆弱性おさらい(ITPROより)(2014年5月追加)

*****     まとめ     *****
  • ユーザー側の対応
    これらの不具合はサイト管理者が対応しなければ放置状態です。
    オープンソースとはいえ、約2年も不具合が放置されていたらしいのでそれは世界が大騒ぎでしょう。

    残念ですがユーザー側で出来る事はありません。

    上記検査サイトでアウトになったサイトを使用していればサイトの対応を待つか、パスワードを変更するくらいしかないと思います。
    また、パスワード変更は今回に限らず変更のくせはつけておき、
    複数サイトで同じIDやパスワード使用などは禁止した方がセキュリティ上安全です。

  • 大手サイトの対応
    ネット決済やバンキングで気になる方が一番だと思いますがAmazonなど大手は問題ないとしているそうです。
    ですが、対応しましたという所は気をつけた方が良いと思います。
    過去の取引がバグ発覚まで放置状態だった可能性がありますので。
  • SSL導入にはお金がかかる
    大手優良サイトや官公庁は多少金額が高かろうが大手のSSL導入サービスを選びます。
    個人でレンタルサーバーなどを運営された方は分かると思いますがSSL対応サイトにはとにかく導入コストがかかります。
    その為、個人情報を入力する画面なのにSSL対応されていないサイトもたまに見かけます。
    そんな背景もあり、オープンSSLが現在世界に広まり大きな騒ぎになった原因だと思います。

オープンソフトとはいえ、SSLサイトが危険にさらされてはネットでの信頼性が根底から崩れかねません。

オープンSSLで過去、どれほどの情報が外部に漏れたかは分かるはずもありませんが、大手サイトくらいは信頼性の高い暗号証明証発行サイトを使用してもらいたいものです。

オープンSSLの表記及び補足事項

  • オープンSSLの表記について(2014年4月24日記事より「OpenSSL」に統一致しました。)当初、「オープンSSL」か「OpenSSL」で迷ったのですが、ボランティア団体がオープンソースとして開発している為、オープンSSLでもいいやという結論になりました。どちらも意味は同じです。
  • OpenSSL日本語サイト(文字化けする場合は、ブラウザの表示からエンコードを自動判別にしてみてください) また「データ暗号化ソフト」ではなく「データ通信暗号化」であるとしているサイトも見かけますが確かにプロトコルという通信手段の一部である事から分からない訳ではないのですが、一般ユーザーからしてみればそこまで詳しくないですし、情報が正確に伝われば良いと思います。
    SSL表記で統一するのは問題ですが、使用サイトが危険か危険じゃないかが分かれば良い話です。
    プロトコルとは(IT用語辞典より)
  • 今後一番注意しなければいけない事
    暗号化ソフトの不具合が大規模に発生した事により、今後パスワード変更に関する迷惑メールなどが増えると思われます。

    【例】「弊社サイトがこのたび発生致しました暗号化の不具合により・・・中略・・・至急下記アドレスよりパスワード変更をおねがい致します・・・」とか、ご自分が現在使用しているSSL対応のサイトを確認、もしくは問い合わせの上、迷惑メールやサイトの誘導には引っかからない様に気を付けてください。

    しっかりした所は対応済みかどうかなど必ず教えてくれます。

Pocket