「Heartbleed」という脆弱性です。(内部的な話に興味がある方は、「巷を賑わすHeartbleedの脆弱性とは?!」をどぞ)
OpenSSLとは、なんぞや?という人も居るのかもしれませんがとりあえずパソコンやスマホ等とネットワークの向こう側に居るサーバーと通信する際にSSLという仕組みで暗号化して通信する為の仕組みを提供してくれる物程度の認識で大丈夫です。
もう少し具体例を上げると普段WebブラウザでWebサイトを閲覧する際にブラウザのURLの部分に大抵の場合は、http://から始まるURLが表示されている筈です。
しかし、IDやパスワード等を入力したりアカウント登録画面等で個人情報を入力する際には、http://の部分がhttps://になっている事が多いと思います。
この場合は、大抵の場合暗号化通信であるSSL通信を行っているのでその仕組を提供しているのがSSLでそれをオープンソースソフトウェアという形でまとめたソフトがOpenSSL程度の認識で我々一般人は、多分大丈夫。(ブラウザは、OpenSSL使っていないとかブラウザ以外でもSSL通信は、行うとか言い出すと話が長くなるのでスルーして♪)
アカウント登録やユーザID、パスワードをやりとりする際には、必ずと言っても良いほど使用されている暗号化ですがこれを提供している物自体が脆弱性を持っているという事なのでゲームをする際のIDやパスワードが抜き取られたりアカウント登録の際に入力した個人情報や秘密の情報などが抜き取られる可能性があります。
で、何が問題かというとこのOpenSSLという物は、フリーソフトとかオープンソースソフトウェア等の分野では、かなりポピュラーであっちゃこっちゃの通信をするソフトで使用されている事が挙げられます。
使われていると言っても大抵は、ネットゲーム、ネットバンクやYahooや楽天、Googleのようなインターネット上でのサービスと運用する企業で使用しているWebサーバーが問題になるので我々のような各ユーザーがどうこう出来る問題では、ないのですが。
サーバーのOSがUNIX系(linux系やBSD系)等でSSL通信を必要とする仕組みになっている場合は、OpenSSLが使用される確率が高いようですので基本的にSSL通信を行っている際は、注意が必要みたいです。(ApacheというWebサーバーは、思いっきり使用しています。シェアは、全世界で50%とか)
なんでかというと今現在、インターネット系企業とかが運用するWebサーバーのOSは、linuxが大多数だからです。
理由としては、単純に無料だからという事が大きいみたいです。(未だにWindowsは、再起動が・・・とかいう人も居ますけど。)
ここまで聞くと「ええ、世界中のネットゲームやネット銀行とか危ないやん」とか思います。
当初は、多くの人もそのように思ったようです。
駄菓子菓子。
今回の脆弱性の影響を受けるOpenSSLのバージョンが限定されているので全部という訳では、ありません。
JPCERTという日本でセキュリティ関連の情報を広く掲示して(サーバー管理者の胃を痛くする事に情熱を燃やす組織で・・・げふんげふん)セキュリティ関連意識の啓蒙を行う?組織が公表した内容(OpenSSL の脆弱性に関する注意喚起)だと「OpenSSL 1.0.1 から 1.0.1f
」と「OpenSSL 1.0.2-beta から 1.0.2-beta1」の間に入るバージョンだけという事のようです。
ちなみにJPCERTは、一般社団法人なのでいい加減な活動は、許されない・・・筈です。なので情報源としては、個人のブログや法人Webサイトよりまともだし信用できるのでしょう。多分。
ん~~、ところで一般ユーザーの立場でサーバーに使用されているOpenSSLのバージョンは、どうやって知ったら良いのでしょう?
簡単に知り得る方法は、無いですよねぇ?
結局サーバーに関しては、各サーバー運営企業が対応しないとどうにもならないようです。
そうすると運営企業が「当サービスのサーバーは、今回の問題に該当しません」又は、「対策済みです」のどちらかが発表されないと安心して個人情報や秘密の情報の入力或いは、オンラインゲーム等もできないかもしれません。
今回の影響を受けるバージョンのOpenSSLを使用していたが対策したWebサイトやサービスでは、対策した後早急にパスワードの変更を促すところが多いみたいです。
ちなみに今回の脆弱性を悪用した情報抜き取りは、既にあっちこっちで実行されているようです。
日本でも警察庁がこの脆弱性を突こうとしている通信データを検知したとかなっています。
カナダの歳入庁では、実際に被害があったと発表しています。
アメリカのNSAがこの脆弱性を情報抜き取りに利用する為随分前から知っていたけど黙っていたという噂もある程悪意のある人にとっては、ウハウハな脆弱性のようです。「NSA、「Heartbleedを利用して情報収集していた」という報道を否定」
発覚したのは、先週なので脆弱性が存在した期間は、今以前の2年間です。
この脆弱性を利用した情報抜き取りは、サーバーのログに残らないのでサーバーからデータ抜き取りをされたかどうかをサーバーログだけを頼りにしているサーバー管理者は、検証する方法が無いという話もあります。
だから、情報抜き取りされたと仮定して対策したWebサーバーでは、パスワードの変更を促しているんでしょうね。
Googleは、全サービスで対策するとかいう話ですから終わったらgmail等は、パスワード変更しておいた方がよいのかもしれません。
ここまでの話では、今回の問題は、サーバーにしか関係ないのでは?と思いますがそういう訳でも無いようです。
スマホのandroidは、Googleが作成しています。
で、そのGoogleから「Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug)」なる文章が出ています。
それの内容だとandroid4.1.1以外は、問題ないけど4.1.1は、今回の影響を受ける端末が有るようです。
一応各端末メーカーにパッチを送ってあるからそのうちパッチが配布されるんじゃね?とかいう話もあります。
後、4.1.1以外のバージョンでも独自の拡張をしている端末に使用されているかもしれないとかいう話もあります。
4.1.2以降は、今回該当する機能を無効化してあるので大丈夫っぽいです。
それとandroidアプリの中には、OpenSSLを独自に使用しているアプリもあるのでそれらのアプリをインストールしている場合は、注意が必要なようです。
今回の脆弱性は、サーバー上に展開されたメモリ上の余分な箇所のデータも取得出来てしまうというものですのでクライアントアプリは、そんなに問題は、無いのかもしれませんがクライアントアプリも注意喚起されて居ますので念には、念を入れて対策されるまで使用しないとか気を使う方が良いのかも知れません。
ちなみに自分の端末に今回のOpenSSL関連脆弱性が該当するアプリがあるかどうか等も含めてチェックできるアプリがあるという事なので早速試してみました。
「Bluebox Heartbleed Scanner」とうアプリでGooglePlayにあります。特に権限を必要としないのでアプリ自体の危険度も無さそうです。
インストールして起動すると勝手に脆弱性に該当するかどうかをチェックして表示してくれます。
当方は、auキャリアのIS12Sを使用しています。androidは、Ver4.0.4なので今回の問題には、関係無いはずですがどうでしょう?
android-OS自体は、「not vulnerable」なのでOSは、問題なしです。
アプリは、Yahoo地図と一筆書きというゲームがOpenSSLを使用しているが今回の脆弱性に該当するバージョンでは、無いので緑で問題なしになっています。
しかし、OfficeSuiteがOpenSSL1.0.1eを使用しているので赤文字で「vulnerable」と表示されています。
今のところアップデートは、まだ提供されていないようです。
そんなに使用しないのでなんとかなるでしょう。たぶん。
証明書や暗号化キーが抜かれていたら意味ないって?知らんがな。
Yahooの大量アカウント抜き取りや連続で行われたKADOKAWAのサイト改竄とかこの2年間で起きた情報流出や改竄のほとんどの原因がこれだったら面白いお話なんですけどね。
まだ、国内でも5%程度残っていると噂されるOS使っているところで「うちのサイトは、WindowsNT3.51や4.0だから大丈夫」とか思っている人いるのかなぁ?他が穴だらけなのにね。
結局、流出して困る情報は、登録しないのがベストか?電話番号とか必須にしないでよGoogleさん。
参照:
JPCERT「OpenSSL の脆弱性に関する注意喚起」
Google「Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug)」
→Google製品の影響について
マイナビニュース「Google、OpenSSL脆弱性への対応進める」
OpenVPN「OpenSSLの脆弱性 – Heartbleed について」
モバゲー「巷を賑わすHeartbleedの脆弱性とは?!」
→Hertbleedの何が問題かより詳しい記述があります。(技術屋さん向け?)
シマンテック「パッチ未適用のサーバーに深刻な脅威となる Heartbleed 脆弱性」
0 件のコメント :
コメントを投稿