サイトでクレジットカード番号入力しても鍵がかかるから大丈夫、という過去15年ぐらいの安心感を根底から覆すバグが検出され、世界各地でサイト管理者を震え上がらせています。
それに伴い、カナダ政府は確定申告のサービスを緊急閉鎖しました。この件に関して、セキュリティの専門家Bruce Schneier氏(Co3社CTO兼EFF理事兼ハーバード大フェロー)は「壊滅的。10段階評価で考えると、これは11レベル」と青筋立てて叫んでいます。
このように一国の公共サービスも停止させる重大なバグの名前は「Heartbleed」。血を吹く心臓という意味です。これの何がどう怖いのか、少し説明していきます。
暗号鍵の握手
アップルの脆弱性の時も出たように、ネットでセキュアな取引きができるのは暗号通信プロトコルの「Secure Sockets Layer (SSL)」とその弟分「Transport Layer Security(TLS)」があるお陰。SSLもTLSも働きは一緒です。セキュアなサイトに行くとURLが「https://」で始まって、アドレスバーに鍵アイコンが出るので「ああ、セキュアなサイトだな」とひと目でわかります。
こういうセキュアなサイトでは裏で暗号鍵を交換してブラウザとサーバーが互いに相手の身元を確かめているんですが、この秘密のデジタルの握手を司るのがTLSとSSL。これがあるから我々は人に見られたくない情報をサイトと自分の間だけに留めておくことができるのです。
幸いTLSとSSLはどちらも通常通り問題なく動いていて、今回問題なのは「OpenSSL」というソフトウェアライブラリの方。
OpenSSLは簡単に言うと、TLSやSSLの暗号化技術を迅速・簡単に装備できるオープンソースのパッケージなのですが、ここに「Heartbleed」の穴が何年も前(正確には2年前)からバックリ開いていたのでございます。
中が丸見え
ある特定の(結構広く使われてる)バージョンのOpenSSLのコードに小さなエラーがあるため、攻撃者はその脆弱性を突いてTLSやSSLの保護を破り、中の非公開の情報を見放題できるんです。秘密の握手も丸見え。
これで生じる問題は何点かあります。
まず、例えばユーザーが米Yahoo.comでメールアカウントにログインする際に攻撃者に秘密の握手を見られてしまうと、中の個人情報もその人に見られてしまいます。ユーザーネーム、パスワードはもちろん、覗かれた時に何かの決済をしてたら、クレジットカード情報も全部筒抜けです。
もっと怖いのは、個人情報を預かってるサイト側がどう身分証明してるのか、そっちも見られてしまうこと。握手(要するに公開鍵と秘密鍵の鍵ペア)の片側がバレると、攻撃者はもうなんでもできちゃいます。中間者攻撃(Man in the Middle Attack)で手と手の間に入って、過去の決済を覗き見したり、サイトに入力した内容の傍受などやりたい放題です。
しかも窓を割って侵入するんじゃなく、鍵を使って入るので荒らされた痕跡も一切残りません。
で、何が問題なの?
OpenSSLとひと口に言っても、全バージョンが崩壊しているわけではありません。穴を塞いだ修正パッチも既に出ています。
が、これまで何年間も穴は開きっぱなしだったわけで、被害の規模は予断を許さない状況です。
脆弱性があるバージョンのOpenSSLを採用しているサイトはこのリストの一番上にある45のサイト(確認した海外分だけで)。以下に少し記載しておきますね。
yahoo.com
imgur.com
flickr.com
redtube.com
kickass.to
okcupid.com
steamcommunity.com
hidemyass.com(←ここはユーザーの個人情報をvpn.hidemyass.comに保存してるので大丈夫だそうです。直接米ギズモードに連絡がありました)
wettransfer.com
usmagazine.com
500px.com
攻撃者は侵入の痕跡を残さないので、この中の何個が被害にあったサイトなのかは全くもって不明です。こうなったら全部侵入されたと思う方が安全でしょう。使用するサイトがやられてる人は、認証情報がどっか外に漏れてる可能性を疑ってみることですね。
サイトがOpenSSLの穴を塞いでも、まだ解決にはなりません。鍵を付け替える部分の作業が残ってます。鍵を挿げ替えた後でも、その前に漏れてしまった情報は二度と回収できないので、不安が一生つきまとうことに。
幸い決済の大手は大丈夫です。例えばAmazonもGoogle*もMicrosoftも「not vulnerable(脆弱性なし)」でセーフ。しかし、ひょっとすると今回の脆弱性の被害は未曾有の規模かもしれませんね。確かめようもないことですが。
当面できることは限られています。とりあえず上記のリストで「vulnerable(脆弱性あり)」と記載のあるサイトには近寄らないことです。サイトが穴を塞ぐのを待って、パスワードは変更、という流れがいいと思います。
ビクビクしてアルミホイルの帽子被っても(←アメリカ人がよくやる)何の解決にもなりませんよ。せいぜいクレジットカードの明細に目を光らせておきましょう。
*UPDATE: Googleも穴があったようです。検索、Gmail、YouTube、Wallet、Play、Apps、App Engineはパッチ修正済みです。Amazonで影響受けたサービスはこちら。
source: HeartBleed
関連記事:CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ、OpenSSLの脆弱性に関する注意喚起:バグ "Heartbleed"、OpenSSL脆弱性、Heartbleedの対処方法(CVE-2014-0160)
Eric Limer - Gizmodo US[原文]
(satomi)