騒がれているOpenSSL脆弱性の脅威は何だ?

OpenSSL脆弱性に関するリスク記事が、新聞を始め色々と記載されている。結構マイナーなIT用語だけに、なぜ?なぜ?と思われいるのではないでしょうか?

openssl

JPCERTによるOpenSSLに関する注意喚起

まず、OpenSSLに関して説明する前に、これに関する記事をいくつか紹介していこう。

暗号化ソフトに欠陥、情報流出の恐れ OpenSSL(asahi.com)
インターネット通信販売などのサイトで利用される無料暗号化ソフトに重大な欠陥が見つかり、住所などの個人情報が奪われる危険性があることが分かった。

OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家(@IT)
この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つかった致命的なバグであることから、「Heartbleed」バグと称されている。

OpenSSLの脆弱性で初の被害、カナダや英国で発覚(ITmedia)
カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。

OpenSSLの脆弱性、Microsoftサービスは影響受けず(ITmedia)
Microsoftによると、「Microsoft Account」「Microsoft Azure」「Office 365」「Yammer」「Skype」など、同社の大部分のサービスはこの問題の影響を受けないことを確認した。WindowsのSSL/TLS実装も影響を受けないという。

OpenSSLの“出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45%(impress)
  例えばGoogleでは、検索やGmail、YouTube、ウォレット、Google Play、Google Appsなどの主要サービスで、パッチを適用済みだと発表している。

結構身近かもしれない?という認識をもってもらいたい。

●SSL

インターネット通信において、暗号化(スクランブル)をかけて、安全に通信を行おうとする技術で、https://~から始まるアドレスを指す。例えば、ネットショッピングでクレジットカード等を利用して決済するシステムや、航空券を購入するための決済、オンラインバンキングでの管理や決済等で利用されています。

通信が暗号化されているため、盗聴やなりすまし等の改ざんを防ぐことができ、よく利用されている技術。

●OpenSSL

SSLやSSLの次のバージョンであるTLSを実装したライブラリ。ツールボックスのようなものだね。サーバにOpenSSLを利用してセキュリティを高めることができます。

●認証局CA

Webサイトに対し、このサイトは安全ですよ!とシマンテック・ウェブサイトセキュリティ(旧:日本ベリサイン)等の第三者機関から証明してもらうことを行うケースがあります。第三者に依頼すると高額なので、自分で認証させようとする自己認証局を利用するケースもあります。特に社外に公開しない社内にあるサーバや、個人的に利用するサーバは、あえて証明する必要はありません。そういう時、OpenSSLを使って認証局(CA)を作るケースもあります。

 

OpenSSLに致命的なバグが発生した、ということは、このサーバは暗号化されていて安心ですよ!ということはいえなくなる、ということです。今回のバグは、『暗号化された通信の内容や秘密鍵などの情報を第三者が取得可能だったというバグ』です。これは怖いですね。暗号化されているといいながら、盗聴することもできる、ということなのだから。

すでに修正されたOpenSSLが公開されており、それをWeb管理者は修正されたOpenSSLを適用すれば、またたくまに保護されるため、修正パッチの適用が急がれる。

ただ逆に、脆弱性が悪用され、既に被害が発生して報告している所もある。脆弱性は知りつつも、2年間放置していた、ということは、非常に恐ろしいものだ。また、修正パッチが適用された、Google、米Yahoo、facebook、Instagram、Dropbox等については、念のためにパスワードの更新を薦めたい。