2014年04月12日



In Deep のトップページは http://indeep.jp に移転しました。よろしくお願いいたします。




[緊急]インターネット史上最悪で、かつ破局的なセキュリティ危機が発覚。個人情報からカード番号、バスワードまですべて流出する可能性が内在する欠陥の存在が明らかに



hb-ws.jpg

▲ 2014年4月10日のウォールストリート・ジャーナルより。




インターネット世界に起きていたカタストロフ

最近はよく眠ることのできる日々が続いていたのですが、昨晩、というより少し前の夜中、頭の中で「ガガガガガ」みたいなノイズの音が走り気分の悪い目覚めをしてしまって、そのまま起きてインターネットを見ていましたら、数日前に「とんでもないこと」が発覚していたことがわかりました。

あまり悠長に書いている感じでもないですので、手短に書きますと、これまで盤石と考えられていた、インターネット上の「暗号化技術」に重大なバグ(欠陥)があったということなのです。

つまり、現在、

世界中のインターネット上で、たとえぱパスワードなどを含む暗号化された文字列の多くが丸見えになっている可能性がある

ということなのです。

今、IT 系のサイトのほぼすべてでニュースとなっていますので、素人の私が説明するより、それらの記事から抜粋します。詳細については下のそれぞれの記事などをお読み下さい。

hb-01.jpg

▲ 2014年4月10日のギズモード・ジャパン「ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11?」。



hb-001.jpg

▲ 2014年4月11日のアスキー「ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法」。


あるいは「 Heartbleed 脆弱性」などで、検索すると数多く出てきます。


まず、どういう問題なのかということを、ギズモード・ジャパンの記事の冒頭から抜粋させていただきます。


サイトでクレジットカード番号入力しても鍵がかかるから大丈夫、という過去15年ぐらいの安心感を根底から覆すバグが検出され、世界各地でサイト管理者を震え上がらせています。

それに伴い、カナダ政府は確定申告のサービスを緊急閉鎖しました。この件に関して、セキュリティの専門家Bruce Schneier氏は「壊滅的。10段階評価で考えると、これは11レベル」と青筋立てて叫んでいます。

このように一国の公共サービスも停止させる重大なバグの名前は「Heartbleed」。血を吹く心臓という意味です。




そして、この何が問題なのかというと、ギズモードの記事の続きです。


例えばユーザーがメールアカウントにログインする際に攻撃者に秘密の握手を見られてしまうと、中の個人情報もその人に見られてしまいます。ユーザーネーム、パスワードはもちろん、覗かれた時に何かの決済をしてたら、クレジットカード情報も全部筒抜けです。

もっと怖いのは、個人情報を預かってるサイト側がどう身分証明してるのかも見られてしまうこと。過去の決済を覗き見したり、サイトに入力した内容の傍受などやりたい放題です。




ということになってしまっているのです。

もちろん、大手サイトでは急ピッチで対策を進めているところが多いですが、しかし、現段階では多くのサイトで対処されていないと考えられます。

個人での対処としてできることとしては、まずは、アスキーに書かれてある下の通りのことです。


パスワードを変更する

プロからのアドバイスとして、まず直ちにパスワードを変更し、影響を受けたサイトが Heartbleed バグに対応した後で、再びパスワードを変更してほしい。




また、ネットエージェント社が、「 Heartbleed 脆弱性検査」という脆弱性の有無をホスト名の入力で判別できる無料サービスサイトを無償で公開しています。

hb-03.gif


ただ、こういうものは、私もそうですが、ネットに詳しくない場合、使い方や結果の閲覧がわかりにくい部分もありますので、状況や報道を見ながら、パスワードを変更していくというのが最もよいかと思います。


ギズモードによれば、


幸い決済の大手は大丈夫です。



とありますので、日本の場合でも、多分、大手ポータルサイト、銀行、証券、ショッピングサイト、決済サイトなどは大丈夫だと思うのですが・・・・・。


なお、4月12日の午前の段階で、「パスワードの変更が推奨されるサイトの一覧」が、ギズモード・ジャパンの記事に掲載されています。フェイスブックも対象となっています。


また、英語のサイトですが、 heartbleed-masstest / top1000.txt のページに、脆弱性がある方式を採用しているサイトのリストがあります。

ここにある「vulnerable」が、「脆弱性あり(攻撃されやすい)」ということになりますので、参考になるかもしれません。

val.gif


順次、対処されていくと思いますので、とりあえず、私たちが現時点で行えることは、特にカード番号や個人情報などが登録されているサイトなどのパスワードを即刻変更することだと思います。

他には個人では対処のしようがありません。


そして、アスキーの記事にはこのように書かれています。


これはまだ始まりにすぎない。実際にどのサイトが悪用されたかを知ることができないため、もしユーザーが被害にあっていたとしても、それに気付くのは取り返しがつかなくなってからとなる。

さらに、攻撃者が過去数年にわたって被害者の暗号化されたウェブ・トラフィックを記録していたとすれば、彼らはそれを過去に遡って解読することができてしまう。Heartbleed に関してはまだ謎が多く、将来的な被害も読めていない。

そのためセキュリティーの専門家で暗号技術のベテランでもあるブルース・シュナイアーは、このバグが「壊滅的」であると言っており、「危険度を1〜10の10段階で示すとしたら、11だ」と警告している。




この先、今回の脆弱性を利用した被害の全貌が明らかになるまでの時間がどのくらいかかるかはわからないですが、ギズモード・ジャパンに書かれてあるように、


ひょっとすると今回の脆弱性の被害は未曾有の規模かもしれませんね。



という可能性も高いと思います。


何しろ、誰もが盤石だと信じていたインターネットのセキュリティ神話のひとつがほぼ完全に崩壊したのですから。


2年くらい前の、

地球文明を破壊する威力を持つウイルス「フレーム」が歩き始めた
 2012年06月10日

という記事で、ロシアのセキュリティ会社の社長であるカペルスキー氏の言葉を載せたことがありました。

kapel.jpg


今回の問題は、ウイルスとは関係ないのですが、危険性の種類の問題は別として、カペルスキー氏の下の言葉を思い出します。


「残念ながら世界にはまだこのような攻撃から完全に身を守る手段がない」


今回の問題は、個人では積極的な対策がなく、パスワードを変更する他は、ログイン履歴をまめにチェックするとか、クレジットカードの利用状況を確認するくらいしかなさそうです。そして何より、企業でネットを管理されている方は迅速に対処されるべきだと思われます。

なお、このような騒動の時には、騒動を利用した「悪質な迷惑メール」が出回りやすいです。

実際に、IT media の「OpenSSLの Heartbleed 脆弱性に便乗攻撃、陰謀説や政府機関利用説も」という記事に、


米SANS Internet Storm Centerは4月10日、正規の業者を装って、エンドユーザーにパスワードの変更を促すリンク付きの詐欺メールが出回っていると伝えた。こうしたメールのリンクを不用意にクリックすると、マルウェアに感染したり、だまされて入力したパスワードなどの情報を盗まれたりする恐れがある。



というようなことが起きていることを伝えています。「このリンクをクリックしてしてバスワードを変更して下さい」というたぐいのメールにはご注意下さい

今回の問題は、冗談ではなく、インターネットに依存している社会にとっての明確なカタストロフです。しかし、パニックになっても仕方なく(どうなっていくのかがわからない問題なので)、できそうなことをやっていくしかなさそうです。

Sponsored link


・ In Deep も» 人気ブログランキングに登録しました。よろしければクリックして下さると幸いです。