今世の中を騒がしている「HeartBleed」という言葉をご存知でしょうか。これは現在も進行中の問題なのですが、ウェブサイト管理者をはじめ、多くのひとに関係のある問題です。簡単ではありますが、その内容をお知らせしますので、今まで知らなかったという方は本記事を読み、そしてそこからまたほかのサイトなどでも調べてみることをおすすめします。
「HeartBleed(またはHeartBleed Bug)」というのは、ネットワーク上で情報のやりとりをする際にデータを暗号化して送受信する通信手順(プロトコル)であるSSL機能を実装したオープンソースのライブラリ「OpenSSL」で発見された脆弱性のことです。
この脆弱性を悪用すると、システムのメモリを読み込むことができます。これにより、「SSLサーバ証明書」の秘密鍵やログイン情報、その他の個人データなど機密情報を盗み見られる可能性があります。
難しい言葉が並びますが、簡単に書くと「ネット上でデータをやりとりするときに内容を他の人にわからないようにするプログラムにミスがあって、悪意ある人がそこから銀行サイトで使っているあなたのパスワードなどを盗み見ることができるかもしれない」ということです。
この脆弱性に名付けられた「HeartBleed」は日本語に訳すと「心臓の出血」であり、そのロゴや専門サイトが作られていることから重要さもイメージしやすいと思います。
このOpenSSLの最新版では、この不具合を修正するパッチがリリースされ修正されています。しかしOpenSSLを使っていたところが全て最新版になっているわけではありません。まだこのパッチが適用されていないところもあるようです。
そのようなサイトで重要な機密情報をやりとりするには危険の可能性があります。
世界の主要なサイトでは脆弱性がないことが確認されています。自分の見るサイトにこの脆弱性があるかどうかは、チェックをするサイトがいくつかありますのでそれを使ってみるといいでしょう。(暗号化してデータを送受信するhttpsで始まるサイトが対象です。httpから始まるサイトは大丈夫です。)
・Test your server for Heartbleed (CVE-2014-0160)
このサイトで調べたいサイトのURLを入力すれば結果がわかります。
AndroidでもOpenSSLは使っているので、この問題と無関係ではありません。この脆弱性が存在するOpenSSLバージョンは1.0.1〜1.0.1fであり、Android4.1がこれを使っています。ただ4.1.2以降ではheartbeatが無効化されているので、影響があるのは4.1.0または4.1.1となります。
しかし、4.1.2以降は大丈夫なはずですが、4.2.2の一部の端末でも影響を受けることがある、という報告もいくつかあります。(Androidは端末やROMの数が膨大にあるので、その全てを確認することができない、ということもあります。)
このあたりはまだ現在進行形の問題であり、はっきりしたことがわからないところでもあります。
自分の端末がHeartBleed Bugの影響を受けるのかどうか、それを調べるアプリがすでに出ています。念のため、これで確認しておくといいでしょう。どちらもアプリを起動するだけで判別してくれます。
Heartbleed セキュリティー スキャナー フリー 無料 |
左:ARROWS X F-02E/Android4.1.2 右:Galaxy Nexus SC-04D/Android4.2.2
[dl_button1]
Bluebox Heartbleed Scanner 無料 |
左:GALAXY S III SC-06D/Android4.1.2 右:INFOBAR A02/Android 4.1.1
[dl_button2]
『Bluebox Heartbleed Scanner』の右画像は「ちむどろいど」さんの記事「OpenSSLの”Heartbleed”バグ、Androidでは4.1.1のみ影響する可能性 – ちむどろいど」より提供していただきました。
「HeartBeats is enabled」と表示されており、今回の影響を受けるということがわかります。
ウェブサイトやシステム的なことは、その専門の担当者がアップデートなどで対応してくれるのを待つ(もしくは依頼する)ことぐらいでしょうか。
もしご自分の利用しているサイトがHeartBleedの影響を受けていたとしたら、サイト側でその対策が済み次第パスワードの変更などをしておいたほうが安全です。(対策が済んでいない状況でパスワードを変更しても、変更後のものを読み取られる可能性もあるのであまり意味はありません。)
スマホの場合は、自分で対策をすることは難しいですが、システムにアップデートがあるのなら確実にやっておいたほうがいいでしょう。
繰り返しになりますが、このHeartBleedの問題はまだ現在進行形で進んでいるものです。セキュリティ系ソフトの会社などから本問題についての解説なども出されていますので、できるだけチェックしておいたほうがいいでしょう。
少し多いですが、今回の記事を書くにあたって参考にさせていただいた記事です。ご参考に。
・OpenSSLのぜい弱性「Heartbleed」が多数Webサイトのセキュリティに影響 | Save the Worldの思いを伝えたい – カスペルスキー公式ブログ
・Heartbleed – OpenSSL 脆弱性について | シマンテック
・パッチ未適用のサーバーに深刻な脅威となる Heartbleed 脆弱性 | Symantec Connect コミュニティ
・Heartbleed ~OpenSSLの脆弱性~(pdfファイル)
・OpenSSLの脆弱性 – Heartbleed について | OpenVPN.JP
・OpenSSLの”Heartbleed”バグ、Androidでは4.1.1のみ影響する可能性 – ちむどろいど