暗号通信がHeartbleedバグで盗聴の恐れ、影響と今できる対策は?

暗号通信の内容が盗み見られる恐れがある、セキュリティ上の弱点が「OpenSSL」で見つかりました。今回はその影響と対策をご紹介します。

Heartbleed


(画像:Heartbleed.com)

OpenSSL は通信内容を暗号化する技術です。ID・パスワードの「ログイン情報」・クレジットカードなどの「個人情報」をサーバとやり取りする際に使われます。

本来、第三者が暗号化された通信の内容を読むことはできません。しかし、このバグが悪用されれば、重要な通信内容を入手されてしまう可能性があります。

その結果、アカウント乗っ取り・クレジットカードの不正使用に遭う恐れがあります。

では、一般ユーザーにできる対策はあるのでしょうか? まずは、この「Heartbleed」バグの特徴から見ていきましょう。

Heartbleedバグの特徴

OpenSSLは様々なウェブサービスで使われている

Mashable によれば、Dropbox・Facebook・Flickr・Google・Instagram・Tumblr で問題のバグを抱えた OpenSSL が使われていました。現在は修正済みです。

ほとんどが日本国内向けのサイトと見られる JP ドメインでは、1,195のうち534のサイトで未修正の OpenSSL を使用(2014年4月11日時点)との報道もあります。

利用者はバグを修正できない

問題のバグは、サーバで使われているソフトウェアに存在しています。

Heartbleed


そのため、いつも使っている iOS や Mac のアップデート・Windows Update による更新ではバグを修正できません

サーバ・ウェブサービスの管理者が修正するまで待つ必要があります。

バグにiPhone/iPad・Mac・Windowsは無関係

繰り返しになりますが、このバグはサーバのソフトウェアに存在します。

そのため、iPhone・iPad・Mac・Windows を問わず、問題のバグを抱えているサーバと暗号通信を行えば、通信内容を盗まれる可能性があります。

iPhone・iPad だからといって安心することはできません。

アプリも影響を受ける恐れあり

今回のバグは暗号通信に関するものです。ウェブサービスに限らず、サーバと通信する iPhone・iPad アプリも影響を受ける恐れがあります。
脆弱性「Heartbleed」、モバイルアプリにも影響 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

アプリがどのように通信しているのかはユーザーには分からないことが多いため、このバグの影響を受けるか否かは、アプリ開発者にお問い合わせいただくのが確実です。

ユーザーにできる対策は?

その存在が公になった以上、悪用される危険は日々増しています。すでに Heartbleed バグが原因で、個人情報を盗まれたとする事例が報告されています。

そのため、できる限りの対策を行うことをお勧めいたします。

1. バグが修正されたらパスワードを変更

すでにバグが修正されているウェブサービスでは、ログインに必要なパスワードを変更しましょう。修正前にパスワードを盗まれている恐れがあるからです。

パスワードは他のサービスと同じものを使い回さず、大文字・小文字・数字・記号を使って複雑なものにしましょう。

バグ修正済みのウェブサービスは、CNET のページで確認できます。
Heartbleed bug: Check which sites have been patched – CNET

「Confirmation from site」が『Vulnerability patched. Password change recommended』と表記されているサービスでパスワードを変更しましょう。

Heartbleed


(画像:CNET)

ここに掲載されていないサービスをお使いの場合は、サーバの管理者・ウェブサービスの運営者にご確認ください。

2. パスワード変更を呼びかけるメールに注意

この混乱に乗じて、偽サイトに誘導して ID・パスワードを入力させる「フィッシング詐欺」が増える可能性があります。

メールでパスワードの変更を求められても、文中のリンクは開かないようにしましょう。

そのメールの送信者を確認した上で、必要であれば、ブラウザから公式サイトに直接アクセスするように注意してください。URL の確認も忘れないようにしましょう。

3. バグ対応状況が不明なサービスの利用は控える

バグの存在が公になったため、これを悪用して通信内容を盗もうとする活動・その準備活動が増えています。

いつ被害に遭うのかは全く予想できないため、バグへの対応状況が不明なウェブサービスの利用は控えましょう。

バグが修正されていない限り、パスワードを変更しても効果は期待できません。むしろ、変更後のパスワードを盗まれる恐れがあります。

利用者自身が対応状況をチェックできるツールもあります。以下は「ノートン」で有名なシマンテックが提供しているものです。
Symantec SSL Toolbox

左:【Check your certificate Installation】を開いて…
右:ウェブサービスの URL を入力します。

Heartbleed
Heartbleed


以下の画面のように「Your server is not vulnerable to Heartbleed attack.」と表示されれば、問題ありません。

Heartbleed


ただし、サーバによっては正しくチェックできないこともあるため、この確認方法は100% 正確とは言えません。

4. カード・口座・アカウントの利用状況に注意

このバグが悪用されることで、クレジットカード・銀行口座などの情報や ID・パスワードといったログイン情報が盗まれる恐れがあります。

不正利用されているかもしれないので、クレジットカード・口座の利用履歴のほか、ウェブサービスのアカウントの設定・利用状況を改めてチェックしましょう。

Appleのサービスには影響なし

Re/code によれば、Apple は「iPhone・iPad・Mac と主要な Apple のウェブサービスに影響はない」と発表しています。
Apple Says iOS, OSX and “Key Web Services” Not Affected by Heartbleed Security Flaw | Re/code

ただし、前述の通り、iPhone・iPad・Mac であっても、今回のバグを抱えたサーバと暗号通信を行えば、通信の内容を盗まれてしまう恐れがあります。

参考(順不同)

参考になったらシェアお願いします!
▼新着記事やオススメ記事を投稿中!
Twitterをフォローする → AppBank(@appbank)
Facebookページをいいねする → AppBank

オススメ