暗号化と言えば SSL と言うぐらい
インターネットでは有名な暗号化用プロトコルですが、
※https などで使われています
バグが発見されました。
個人情報漏洩に繋がる大変大きな問題です。
本日は、この問題とできる対策についてご紹介いたします。
<<本コンテンツの対象となる方>>
・Heartbleed バグが何か知りたい方
・セキュリティに興味がある方
<<OpenSSL とは>>
OpenSSL とは、ウェブサイトやメールサーバー、アプリケーションなどに暗号化を実装するためのオープンソースの暗号化ライブラリです。
このライブラリを利用する事で、アプリケーションに SSL を利用した暗号化機能を持たせることができ、クレジットカードの番号を安全に送ることなどが可能になります。
<<Heartbleed(ハートブリード)の脆弱性とは>>
ところがです。
2014/4/7 に Heartbleed には脆弱性がある事が公表されました。
この脆弱性によって、攻撃者がプログラムのメモリ内にある情報を取得できる、つまり ID やパスワード、ウェブサイトの暗号化に必須の秘密鍵が流出するなどの可能性が指摘されています。
影響を受ける対象は OpenSSL のバージョン 1.0.1~1.0.1f が利用されているシステムすべてで、
サーバーのみでなく、OpenSSL ライブラリを利用しているアプリケーションを利用していれば、デスクトップ向けのクライアントアプリケーションも入ります。
<<該当するにどのような対策があるのか?>>
基本的には、次の4点です。
・OpenSSL のライブラリを 1.0.1g 以降にアップデートする
・使用している秘密鍵を失効する処理を行う
・新しく秘密鍵を生成する
・新しい秘密鍵で証明書の作成する
2番以降の対策は、1番の対策が行われたあとに行わなければなりません。
OpenSSL のバージョンが古いままだと、同じ手法で情報漏洩が再発する可能性があるからです。
<<まとめ>>
日本では報道が少ないと言う感じがしますが、非常に危険なバグです。
しかも、このバグは 2012 年から存在しており、攻撃を受けたとしても痕跡が残らないと言うのですからより問題は深刻化しています。
皆様の利用しているサービスで OpenSSL の問題を抱えている場合は、サービスの利用しているライブラリがきちんと更新されるか、サービス提供社が問題無いことを確認するまで、不用意に利用しないというのが現実的な対策と言えます。
なお、Google 関連のサービス(Gmail、YouTube など)は既に対策済みで、
Windows 系のサーバー・クライアントは影響無いという発表がありました。
お使いのサービスに疑問があればお聞きください。
その他、IT 関連の疑問があれば、お気軽にご相談ください。
※Excel や Word などのソフトの疑問などでも大丈夫ですよ!