このページの本文へ

暗号化ソフトに潜むバグ「Heartbleed」、対処法は?

2014年04月21日 04時49分更新

加藤 宏之(HEW)/アスキークラウド

  • この記事をはてなブックマークに追加
  • 本文印刷

 オープンソース・セキュリティー・ソフトのOpenSSLに危険な欠陥、脆弱性が発見され、世界中で大きな問題となっている。「Heartbleed(ハートブリード)」バグと呼ばれるこの問題の大きさは、OpenSSLが世界中の2/3におよぶ多くのWebサイトで利用されていることにある。

 そもそもOpenSSLとは、Webサイトを利用する際に交わされる通信情報を暗号化する技術の1つだが、ここに見つかったHeartbleedバグが悪用された場合、Webサイトへのアクセス時のIDやパスワードといったログイン情報をはじめ、銀行口座やクレジットカードなどに関わるものも悪意のある第3者に盗まれる危険性がある。実際、カナダの歳入庁ではHeartbleedバグを狙ったサイバー攻撃を受け、個人情報がハッキングされたという。日本でも18日、三菱UFJニコスがOpenSSLの脆弱性による不正アクセスが検知されたことを発表している。

 こうした被害に巻き込まれないためにも早急な対処がいま求められている。セキュリティベンダーのトレンドマイクロはブログで対処法をまとめているが、まずWebサイト運営者がすべきなのは、脆弱性が解消されているバージョンへOpenSSLをアップグレードすること。そしてSSL証明書の失効と、新しい鍵ペアを用いて発行した新証明書との置換を行ったうえで、それをユーザーに通知することだ。

 HeartbleedバグはWebサイトだけでなく、モバイルアプリやAndroidにも影響を与える可能性があり、トレンドマイクロではAndroid4.1.1がそれに該当するという情報を入手。また、Google Play内の273のアプリに、脆弱性の影響を受ける独立型のOpenSSLライブラリがバンドルされていることを確認している。モバイルアプリ開発者にもWebサイト運営者と同様の対処が必要となる。

 Heartbleedバグへの対処は一般ユーザーにも求められる。Webサイトやモバイルアプリの対処は、あくまでサイバー攻撃を受けないようにするためのもの。その対処前にサイバー攻撃を受け、IDやパスワードなどが盗まれていたら、対処後にもIDやパスワードなどが悪用される危険性は残ったままだ。つまり、IDやパスワードなどが盗まれたことを想定し、IDやパスワードなどを変更する必要がある。そうすれば、盗まれたIDやパスワードなどは無効となり、被害に巻き込まれる危険性は低くなる。

 ただし、一般ユーザーがIDやパスワードなどを変更するタイミングはあくまでもWebサイトやモバイルアプリがHeartbleedバグへの対処を行ったあと。IDやパスワードなどを変更しても、WebサイトやモバイルアプリがHeartbleedバグへの対処を行っていなければ、サイバー攻撃により変更後のIDやパスワードなどが盗まれる危険性が残ったままだからだ。

 シマンテックやマカフィー、トレンドマイクロといったセキュリティベンダーのなかには、WebサイトのURLを入力することで、Heartbleedに対する脆弱性の有無を確認できるツールを公開している。こうしたツールを利用し、Webサイトが安全であるかを確認したい。

シマンテックのSSL Toolbox

シマンテックのSSL Toolbox

マカフィーの簡易スキャンツール(Heartbleedtest)

マカフィーの簡易スキャンツール(Heartbleedtest)

トレンドマイクロのHeartbleed Detector

トレンドマイクロのHeartbleed Detector

カテゴリートップへ

ピックアップ