Heartbleed バグはウェブ・セキュリティを台無しにした。自分の身を守るためにはちょっとした努力が必要だが、その価値は十分にある。
インターネット上での買い物や財産管理、電子メールの送受信などにおけるプライバシーを守ってくれるはずのセキュリティ・ソフトに関する重大なバグ、「Heartbleed」が最近発見された。今のところ、このバグによる実際のファイナンス情報やアカウント情報その他に関する傍受や盗難に繋がるような被害は報告されていないが、恐らくそれは時間の問題だ。
良いニュースは、こうした傍受や盗難から自分の情報を保護する方法があるということ。悪いニュースは、それらの対策は単純だが必ずしも簡単ではないということだ。
なぜ Heartbleed は深刻なのか
まず簡単に背景を説明しよう。ハッカーなどの攻撃者が Heartbleed バグを悪用した場合、サイト上のウェブ・コミュニケーションを保護してくれるはずの、OpenSSLと呼ばれるオープンソースの暗号化セキュリティ技術を迂回できてしまう。このバグによって攻撃者はウェブサーバーから任意のビット情報を抜き取ることが可能となる。その情報には、ユーザー名やパスワード、トラフィックを保護するための暗号鍵、あるいはそのウェブサイト自体の暗号化された「証明書」さえ含まれている可能性がある。
最悪の場合、攻撃者はこれら情報を使って特定のサイトにおけるすべてのトラフィックを読み取り、さらにはそのサイト自体を装って(偽の銀行のサイトなどに扮して)ユーザーから重要な個人情報をだまし取ることもできてしまう(より詳しい情報は過去の関連記事を参照)。
Heartbleed バグは2年間にも渡って気付かれないまま存在しており、その間、誰がそれを知っていて、何をしていたかも分からない。それが公になった今では、5000万を超える大手ウェブサイト(有名なところではYahoo Mailなど)が、必死になってサーバーをパッチし、ユーザー保護のためのセキュリティ・プロトコル更新の対応作業に追われている。
これはまだ始まりにすぎない。実際にどのサイトが悪用されたかを知ることができないため、もしユーザーが被害にあっていたとしても、それに気付くのは取り返しがつかなくなってからとなる。さらに、攻撃者が過去数年にわたって被害者の暗号化されたウェブ・トラフィックを記録していたとすれば、彼らはそれを過去に遡って解読することができてしまう。Heartbleed に関してはまだ謎が多く、将来的な被害も読めていない。そのためセキュリティーの専門家で暗号技術のベテランでもあるブルース・シュナイアーは、このバグが「壊滅的」であると言っており、「危険度を1〜10の10段階で示すとしたら、11だ」と警告している。
企業にとって、この事態を収拾するのは簡単ではない。影響を受けたサイトはまず OpenSSL のパッチを実行してバグを修正し、次に既存のデジタル証明書を無効にしてそれらを再び発行する必要がある。さらにその後、自社のシステムを隅から隅まで調査して、どこかに危険にさらされたことを示す痕跡がないか探すことになるのだ。
個人ユーザーがやるべきこと
個人ユーザーがやるべきことの基本的なチェックリストは次のとおりだ。
・まず、よく使うサイトが Heartbleed の影響を受けていたかを調べる。
・対象サイトのパスワードを直ちに変更する。
・対象サイトを頻繁に訪れ、バグの修正とデジタル証明書の再発行が行われたかどうか確認する。
・対象サイトの証明書が新しくなったら再びパスワードを変更する。
自分の身を守る方法はシンプルだが、あまり簡単とは言えない。リストの内容をそれぞれ詳しく確認していこう。
よく使うサイトの脆弱性をチェックする
お気に入りのサイトで、自分のデータは安全に保護されているだろうか?イタリアのプログラマー、フィリッポ・ヴァルソルダの開発したツール「Heartbleed test」を使って、そのサイトが Heartbleed バグの影響を受けているか確認しよう。もしそうだった場合には、そのサイトがまだ改修を完了していなかったとしても、まずパスワードを変更することが最善の方法だ。新しいパスワードも盗まれる可能性があるので完璧に安全とは言えないが、データが盗まれるまでの時間を稼ぐことはできるかもしれない。
より本格的な別のテスト方法もある。Qualys の「SSL server test」は、セキュリティ暗号化構成の詳細な分析を提供し、それらのセキュリティの強度によってウェブサイトを類別する。このテストはヴァルソルダの簡易的なものより複雑だ。この方法では1分ほどかけて、証明書、暗号強度、暗号鍵の交換、プロトコル・サポートを含む複数のセキュリティー・プロトロコルをテストする。
CNET は、ウェブのトップ100サイトを対象とした、Heartbleed への対応ステータスのリストを公開している。また、パスワード管理サービスの LastPass も単純なチェックツールを提供しており、特定のサイトが OpenSSL を利用しているかどうかに加え、証明書が最後に発行された日付や、ユーザーを保護するためにその会社が行っていることに対する補足情報などを提供している。
グーグルの Chrome ブラウザには、「Chromebleed」と呼ばれる拡張機能が提供されている。この拡張機能をインストールすると、Heartbleed の影響を受けたサイトを訪れた際には常に警告が表示されるようになる。
パスワードを変更する
プロからのアドバイスとして、まず直ちにパスワードを変更し、影響を受けたサイトが Heartbleed バグに対応した後で、再びパスワードを変更してほしい。上記のツールを使って自分で調べるか、あるいは影響を受けたサービスから電子メールが届くのを待つことで、安全かどうかを確認できる。私は自分の手でサイトのチェックを行うことをお勧めしたい。
先週の水曜日に私は IFTTT(ウェブ上のタスクを自動化し仕事効率化を図るツール)から電子メールを受け取った。Heartbleed のバグを修正したため、パスワードを変えるようにとの内容だ。IFTTT のパスワードだけではなく、自分の重要な情報を預けるすべてのサービスでパスワードを変えるよう勧められた。おそらく、影響をうけた企業からはこのようにメールが届くと思われる。
チェックし続ける
頻繁に利用するすべてのサイトが OpenSSL をパッチし、デジタル証明書を再発行するまでは安心できない。それらをすべて管理することは簡単ではない。多少のリスクを覚悟するのであれば、数日待ってから再度パスワードを変えればいいだろう。しかし、誰かがその間にあなたのデータを盗み取っている可能性はゼロではないのだ。
セキュリティーの再確認を行う
これを機会に、セキュリティの大掃除はいかがだろうか。不運にもこの重大なバグよって我々は、自分たちのデータが思っていたほど安全だとは限らないということを思い知らされた。このタイミングで自分のセキュリティーを考え直すべきなのかもしれない。
まず自分のユーザー名やパスワードが十分に強固かどうか、そしてそのアカウント上で悪意のある活動の形跡がないかを確認しよう。
LastPass などのパスワード管理サービスは、ユーザーが強固なセキュリティ対策を維持するのをサポートしてくれる。こうしたサービスは、お気に入りのサイトで使うパスワードを生成し、一括で管理してくれる。ユーザーは一つのパスワードで全てのサイトにアクセスできるようになるのだ(LasPass もHeartbleedバグの対象となったが、暗号化されたデータの鍵がそのサーバーに保管されていなかったため、ユーザーへの影響はなかったと発表している)。
Heartbleed の影響をうけたすべてのサイトはそのうちパッチされるはずだが、影響を受けたアカウントには定期的にアクセスし、そのサイトに登録された全てのアップデートや投稿、購入履歴などが、全て自分自身によるものであることを確かめるようにしたほうがいい。それがたとえ理論的には安全なサイトであったとしても、この良い習慣を身につけておくことに越したことはない。
画像提供:Sarah on Flickr
Heartbleedロゴ画像:Heartbleed.com
※本記事はReadWrite Japanからの転載です。転載元はこちら。
