Webサイトの“鍵”まる見え問題、利用者がすべきことは?:半径300メートルのIT
OpenSSLという暗号化のためのプログラムに大きな欠陥が発見されました。本当は見えちゃいけない暗号の“鍵”やパスワードが流出する可能性があります。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。
IDとパスワードを入力して使うクラウドサービス(例えば、Gmail)やネットショップなどを使う際に、必ずチェックしてほしいのがWebブラウザに表示される「鍵マーク」の有無です。これは「通信が暗号化されているので、安全ですよ」という意味なのですが、この暗号化部分を提供するプログラムに重大な欠陥が発見され、エンジニア業界で大騒ぎになっています。
とはいえ、利用者の立場では対応できることがほとんどなく、サービス事業者の対応を待つだけです。ただし、慌ててパスワードを変更せず、まずはサービス事業者からの指示を見逃さないようにしてください(この問題の対応の前にパスワードを変更すると、新しいパスワードも丸見えになる可能性があります)。
利用者が注目すべき点はサービス提供企業の「対応度」
「Heartbleedバグ」と呼ばれる今回の欠陥、ざっくり説明すると「本当は見えちゃいけない、サーバーのメモリ内情報が見えるようになっていた」というものです。これにより、見えちゃいけない暗号の“鍵”や、パスワードが流出した可能性があります。専門的な解説は@ITの記事「OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家(参照記事)」を参考にしてください。
この欠陥、影響範囲がとてつもなく大きな問題ですが、ユーザーの立場から注目すべきは「あなたの利用しているサービスが、この問題にどう対処しているか」という点です。
筆者がこの問題に気付いたとき、即座に確認したのは金融機関系のサービスでした。例えば、各種金融機関の入出金情報を集め、一覧できるアプリを提供する「MoneyTree」は、この欠陥が判明した4月8日にはサービスを一時停止しました(4月10日には対処し、サービスを再開しています)。一般向けには大変分かりづらい今回の問題に、サポートを行うTwitterアカウントが丁寧に対応していたのが印象的でした。
そのほかにも、クラウドサービスを貸し出すAmazon Web Servicesや、マイクロソフトもいち早く問題に対応、アナウンスを出しています。海外の各種クラウドサービスの対応一覧もまとめられています(参考リンク)。
今回の問題、利用者自身がそのすべてを理解するのは難しいでしょう。ただし、このような問題があることを「把握」することは必須です。自分にとって重要なサービス(主に「お金」に関係するもの)については、サイトに「Heartbleed」に関するお知らせが出ていないかどうかをチェックしてください。
ところで、原稿執筆時点(2014年4月13日)では、日本のメガバンク各社のトップページにはお知らせがありませんでした。今回の問題には当てはまらないため掲載していないという可能性はありますが、その場合でもできれば「OpenSSLは利用しておらず、無関係であるから安心してほしい」という記載があるとうれしいですね。
関連記事
- その漏えいしたID、自分の「お金」に直結していませんか?
OCNから約400万件のメールアドレスと暗号化されたパスワードが漏えいしました。即座に被害が発生するとは限りませんが、口座情報などの重要情報をWebサービスに預ける場合の対策と覚悟を考えてみましょう。 - ウイルスが作られるのは「あなたのお金を盗むため」
なぜコンピュータウイルスが生まれるのでしょうか。結論から言うと悪意ある攻撃者が「あなたのお金を盗むため」です。 - 3-Dセキュアを知っていますか?――ECサイトが重視すべきは、利便性か安全性か
クレジットカード業界が作った本人認証サービス「3-Dセキュア」を知っていますか? せっかくのサービスも、利用者が仕組みを理解していなければ、犯罪者にとって格好の狙いどころになってしまいます。 - 敵をあざむくなら、まず自分から――「パスワードのヒント」に本当のヒントを入れるな!
先日、米Adobeのサイトから少なくとも3800万人分のパスワードが流出しました。暗号化されていたとはいえ、同時に流出した「パスワードのヒント」を手がかりに次々と解読されているようです。 - 「jTDDD[yjrPs7zKNc38RU」みたいな複雑なパスワード、覚えられっこない!?
パスワード管理がもっと便利になったらいいのになあ、と思う人は多いはず。でも面倒くさいからといって「1つのパスワード」を使い回していたら危険です。それを解決するには……
Copyright © ITmedia, Inc. All Rights Reserved.