無縫地帯

OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません

OpenSSLの脆弱性に関する問題が波紋を広げており、その対策は完全に社会問題にまで発展しつつある状況で、留意が必要です。

山本一郎です。尿酸値がやばすぎます。

ところで、広く世界中で利用されるオープンソースのSSL/TLS実装「OpenSSL」に脆弱性が発見されネット界に激震が走りました。

OpenSSLの「Heartbleed」脆弱性、一般ユーザーの自衛は困難対応は長期戦か(ITmedia 2014/4/10)
「OpenSSL」に秘密鍵漏洩する脆弱性「Heartbleed」が存在 - エクスプロイトも流通(Security NEXT 2014/4/10)
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家(@IT 2014/4/10)
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性(TechCrunch Japan 2014/4/8)

通称「Heartbleed」と呼ばれるこのバグですが、ある程度のITリテラシーを持ち合わせている人であれば以下の説明記事などを読めば、いかにとんでもない事態であるかは一目瞭然です。

OpenSSLのぜい弱性「Heartbleed」が多数Webサイトのセキュリティに影響(カスペルスキー公式ブログ)

サーバーのメモリを保護する暗号ライブラリ(OpenSSL)がぜい弱性のあるバージョンだと、インターネット上の誰でもメモリを読み取れるのです。最悪の場合、ここに何か重要なデータが保管されているかもしれません - ユーザー名、パスワード、暗号化通信に使われるプライベートキー、などなど。さらに、このバグを悪用した痕跡は残りません。サーバーがハッキングされてデータが盗まれても、どのデータが被害に遭ったのか特定できないのです。カスペルスキー公式ブログ
かなりかみ砕いた分かりやすい説明になっているとは思いますが、しかし、広く一般の人々にもこの事態の深刻さを伝えるには技術的な解説になりすぎていて、却って伝わらない部分もありそうです。で、Heartbleedの深刻さをちょっと面白い例え話にしたツイートを見かけたのでご紹介しておきます。ニュアンスとしてはこれくらいに誇張しておいて良いのかもしれません。まあ、実際そんな感じですし。

IT系じゃないけどちょっとネット系の記事は見てたりする友人に「Heartbleedがどれくらいやばいか」って聞かれたから、「ATMとクレカの暗証番号をでかでかと印刷したTシャツで渋谷歩いてるくらいやばい」って言ったら伝わったYoshifumi YAMAGUCHI
また、当初はIT系ニュースメディアにしか取り上げられていなかったこの件も、その後一般報道メディアで扱われ出したので、ある程度の周知は図られたと見なして良さそうです。

OpenSSL:ネットセキュリティー2年間“重大な穴”(毎日新聞 2014/4/11)
暗号化ソフトに深刻な欠陥利用サイトに対策呼び掛け(日本経済新聞 2014/4/11)
オンライン決済でカード情報盗難も暗号化プログラムに重大欠陥(産経新聞 2014/4/12)
ネット暗号化ソフト重大な欠陥(NHKニュース 2014/4/11)

警察庁では同件について早期から注意喚起を行っていますが、脆弱性に対する攻撃はすでに確実に発生していることも判明しています。

OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起(INTERNET Watch 2014/4/11)

4月8日には、脆弱性の有無を確認することが可能な攻撃コードが公開されており、警察庁の定点観測システムでも、9日以降、攻撃コードに実装されているClient Helloパケットと完全に一致するパケットを多数観測しているという。INTERNET Watch
主要WebサービスのFacebookやGoogle、米Yahoo等が軒並みこのHeartbleedの影響を受けて緊急対応したという報なども入ってきていますが、その辺りはまあ仕方ないだろうなと思いつつ、気になるのは個別のネットワーク機器にもこのバグを抱えたOpenSSLが採用されているという話です。

重大バグ「ハートブリード」、シスコとジュニパーの機器にも(WSJ.com 2014/4/11)

これらの機器は修正しにくいとみられる。サイバーセキュリティーの専門家によると、修正にはより多くの手順が必要で、企業はこうした機器の状況をあまり点検しなさそうだ。WSJ.com
こうしたセキュリティの穴が各所に散らばったまま放置されてしまうと、将来とんでもない爆弾になりかねないわけでして恐ろしいかぎりです。悩ましいのは、あまりにも多くのサービスや機器において脆弱性が存在するため、現時点でエンドユーザー側が慌ててパスワード変更等を行っても、そうした対策が有効に機能しない可能性もあるということです。

OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も(ITmedia 2014/4/11)

ただ、セキュリティ企業のSophosは4月10日のブログで、「慌てて自分の使っている全サイトのパスワードを変更したりはしない方がいい」と指摘した。

同社によると、もしWebサイト側が対応を済ませる前にユーザーがパスワードを変更してしまえば、その新しいパスワードも盗まれる恐れがある。このため「サイト側が対応を済ませたと発表するなど脆弱性が解決されたことを確認できるまで待った方がいい」とSophosは助言している。ITmedia
しばらくは静観しつつも、安全が保障されていないと考えられるネットサービス上等では不必要な機密通信をできるだけ控えるといった、かなり消極的な対応策くらいしかないのかもしれません。困ったものです。

面白ネタとしては、NSAがこのHeartbleedを利用して機密通信を盗聴していたという与太が飛び、それを否定する公式声明をNSAが出したなどというのもありましたが、問題はこうした表に話題として出てこないところで実際に機密情報が今も漏洩している可能性は誰も否定できないということでしょうか。

そのあたりが「信頼関係を維持することの大切さと困難さ」を知らしめる教訓でもありますし、やはり陰謀論がはびこる温床になっているんだと思うんですよね。信頼できない政府が、強大な権力や豊富な資金を使って安全保障の大義名分のために国民を監視しているんだ、的な。

NSA、「Heartbleedを2年前から悪用してきた」報道を否定(ITmedia 2014/4/14)

また、海外のWebサービスの多くがHeartbleed問題について影響の有無などについて情報公開を素早く行っていたのに対し、国内の事業者の多くはまだそうした情報をエンドユーザーに対して分かりやすい形で明らかにしていないように見受けられます。自分達に都合の良いときだけ「欧米では~」という理由で妙な施策をユーザーに押しつけるのではなく、こうした際にも欧米並みの速度感で真摯な対応をお願いしたいものだと感じる次第です。

このような問題は、結局ウェブを利用する個人や企業の担当者一人ひとりの良心が試されているものであり、そういう善意の積み重ねがウェブの安全を担保しているのだと肝に銘じる必要があるのでしょう。

っていうか何この綺麗な終わり方。