多数のサイトで起こりうる情報漏えい、Heartbleedの被害が姿を現し始めた。アスキークラウドの連載「アンダーグラウンドセキュリティー」の著者・一田和樹が、カナダの歳入庁で社会保障番号が漏えいした被害報告について解説する。
カナダの歳入庁(CRA=Canada Revenue Agency)のサーバーがHeartbleedを利用したサイバー攻撃を受けて、900件の社会保障番号(SIN=Social Insurance Number)を盗まれた可能性がある。
CRAは先週、Heartbleedに対処するためサーバーを停止すると発表した。カナダの確定申告の締め切りは4月末で、4月にサーバーを止めることの影響は甚大である。結局、CRAは確定申告の締め切りを事実上、5月5日まで延期する事態となった。正確に言うと、締め切りは4月末のままだが、5月5日まではペナルティーが発生しない措置を講じた。
その時点では被害は発生しておらず予防のための措置だったが、4月11日(現地時間)に900件のSINが盗まれた可能性が浮上。2日後の4月13日に公表した。900件のSINの盗難をどのように特定したか、その方法や詳細は発表されておらず、被害がさらに広がる可能性も指摘されている。SINに加えて氏名などの個人情報があれば、クレジットカードや銀行口座などへのアクセスや変更、登録が可能となる。カナダのニュースでは、何度も繰り返し、警告を流している。
Heartbleedは、インターネットのセキュアな通信(SSL)を提供する「OpenSSL」の「Heartbeat」に発見された脆弱性だ。これを利用すると、通信中のデータを盗み取れる。通信中のデータには、IDやパスワードなど重要な情報も含まれている可能性がある。2年前からバグ自体は存在しており、公開されたのは最近になってから。一部の報道によると、2年前からNSAが利用していたともいう(NSAは否定している)。SSLという言葉になじみのない方もいると思うが、ECサイトや個人情報に関連するサイトにアクセスした際、アドレス欄に表示される「https」と言えば分かりやすいかもしれない。多くのサイトで利用されているOpenSSLのバグということと、情報を盗まれても痕跡が残らないことが問題となっている。
「Mashable」 というウェブサイトでは、大手サイトのHeartbleed対応状況を一覧で公開しており、FacebookやTwitter、Instagramといったメジャーなクラウド企業も並んでいる。
CRAの被害報告は米国のYahoo!に続く大規模な実例だが、海外の話と安心してはいけない。Heartbleedは日本のウェブサイトでも多く使われており、対処をしたのかどうかは、サイト側が発表するまで分からない。対処していなければ、現在進行形で被害が発生し続けているかもしれないのだ。日本政府や銀行、クレジットカードといったサイトから、あなたの個人情報が漏えいしている可能性がないとは言えない。CRAの被害は氷山の一角でしかないのだ。
「アンダーグラウンドセキュリティー 1」(Kindle版の価格は100円)
中小サイトによっては、自社のサイトが影響を受けるのかどうか確認すらしていない可能性もある。サイバー攻撃は至って簡単で、痕跡はほとんど残らない。Heartbleedは、インターネットで発見された最悪の脆弱性と言えるほど危険だ。にもかかわらず、利用者ができる自衛策は、Heartbleedに対処したと発表しているサイトだけを使うことくらいしかない。
Heartbleedの被害は、これからが本番だ。
多くのサイバー犯罪や危険は、見えないところで進行する。報道された時には、手遅れということも少なくない。あらかじめ情報を収集することだけが自衛につながる。現在、発売中の『アンダーグラウンドセキュリティー 1』は、そんな自衛策の一つになるかもしれない。
