インターネットを通してやりとりする情報を暗号化する秘密鍵がサーバー側から漏洩してしまうという恐ろしいバグが一部のOpenSSLを使ったサーバーシステムにあったことが判明、「心臓出血(Heartbleed)」とジョーク交じりで命名され世界中のネットユーザーを震撼させた。サーバー側で秘密鍵が漏れるかもしれないという脅威なので、Mac、iOSユーザーも安閑とはしていられない。今回は、Mac、iOSユーザーとしてできる対策のいくつかを確認しておこう。
危険サイトが続々。日本の金融・販売サイトは大丈夫なのか?
バグはWebサーバーを稼働させるために使うプログラムの一部に存在した。サーバーが正常に動作しているかどうかを確認する「Heartbeat」プログラムに不備があり、利用者とのやりとり履歴をキャッシュした情報が抜き取られてしまう危険性があった。不具合のあったOpenSSLのバージョンは一部に限られているが、Netcraft社が調査したところ、50万サイト以上がこの危険性をはらんでいたという。また、トレンドマイクロ社の調査によると脆弱性を抱えるWebサイトの割合が最も多かったのは「.KR」、2番目が「.jp」だったという(図1)。
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.htmlこの脆弱性、4月7日に公表されたが、その後、米国の主要なeコマースや各種クラウドサービスはその脆弱性の有無を公表し、ユーザーに注意を喚起している。ただし、ユーザー側で修正プログラムを適用するなどの対策は取れないので、サーバー側が対応を済ませたのを確認して、パスワードの変更、より堅固なパスワード保護対策、たとえば2段階認証の利用を開始するなどの対策を取る必要がある。
サーバー側が正しく対応してくれていないのに慌ててパスワードを変更してしまうと、変更したパスワードもろとも抜き出される上、その間の通信内容も漏洩、パスワード変更の本人確認のために使っているメールのやりとりすべてを傍受される可能性もある。慌てて対策を講じない方が良い。あくまでも、接続先のサイトが安全だと確認されてから対応するべきだ。
海外のサイトは脆弱性の有無、対応状況をいち早く公開しているが、日本のサイトではだんまりを決め込んでいるところが多くて、果たしてHeartbleedに関して安全なのかどうか分からず不安になる。そんな中、三菱UFJニコスは同社WebサービスからHeartbleed脆弱性を突いて894人分の個人情報が流出した恐れがあると公表した(関連記事:国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か)。これはひと事ではない(図2)。
