先日、「ホームページも暗号化するのがセキュリティ・トレンド!?」としたSSLに関する記事を書いたが、わずかその数週間後、SSLに関する世界を騒がせる、大きなセキュリティ・ホールが発見されたと発表された。OpenSSLという暗号化の仕組みに発見された重大な欠陥、「Heartbleed」だ。
ネーミング(「心臓出血」)からも分かる通り、かなり深刻なバグで、TVや新聞などの一般メディアでも取り上げられたので、ご存じの方無少なく無いと思うが、その大半の方が、「へぇ~、そうなんだ」で終わっているのではないだろうか?
もともと、このHeartbleedとは、どういったバグなのか。それを非常にわかりやすく説明しているのが、xkcdというWebコミックだ。6コマ漫画でこのバグが引き起こすビヘイビアを解説しているので、以下和訳転載した。
Quote : xkcd “Heartbleed Explanation”
つまり、OpenSSLサーバへ要求時に指定した文字数分を、すべて返答してくるという欠陥で、これを利用すれば、たまたまそこに流れていた情報を盗み見ることができるというわけだ。もともとは開発時のバグチェック用か何かだったのだろうが、「抜け穴」が閉じられることがないまま、2年以上この状態が放置されたままになっていたとのこと。
このHeartbleedの対応策についてであるが、情報のほとんどが、SSLサーバの運営側に関することが多い。サーバの対策と秘密鍵の更新、そしてこれまで運用していたSSLサーバのデータ廃棄(確認)といった内容である。ちなみに、私が運用するものも、すべて対応し、現在はセキュアなものへとなっている。
サーバがHeartbleed対策が施されているかどうかを手軽に確認するチェッカーであるが、私はLastPass社の「LastPass Heartbleed checker」を利用した。その他にも、日本語サイト含め、いくつか提供されているようだ。
サーバ側の対応はこれでいい。では、サービス提供を受けるユーザ側は何もしなくていいのだろうか・・・? そんなわけはない。これまで利用していたパスワードを、すぐに変更しなければならないのだ。
今回のこのHeartbleedで、多くの人が利用する有名なサービス、GoogleやFacebookのサーバも被害を被っている。ほかにも、Linkedin、Gmail、Instagram、Dropbox、Godaddyなど。つまり、多くの有名なサービス提供社が、OpenSSLを利用しているということで、そのユーザも被害を被っている可能性があるということになる。盗み見られている可能性があるので、パスワードはすぐに変更すべきだ。
ここで注意すべきは、サーバ側がHeartbleedの対策を講じてからになる。ちなみに上述の有名サービス提供社のすべてが既に対策済みだ。
その他にも、大手サーバのHeartbleed対策状況をまとめたページがこちら(Mashable)にあるので、参考にしてほしい。
Comment