先週の4月7日にインターネット上のセキュリティの根幹をなす技術の一つである「SSL」のオープンソース版「OpenSSL」の特定のバージョンに2年前から 脆弱性 があったことが見つかり公表され、世界中のソーシャルネットワークサイトやオンラインショッピングなどの会員登録型サイト等が、対応に追われた/追われているようです。
追記:heartbleed.com ドメインは4月5日に取得されているので、発見はそれ以前と思われます。
今回の脆弱性は、インターネット史上最悪とも言われる程あまりに致命的であり、「heartbeat拡張」と呼ばれる機能に関連していることから、「Heartbleed(心臓出血)」と名付けられました。
SSLとは:
簡単に言えば、https:// で始まるサイトやVPNと呼ばれる暗号化通信で使う、サイトの真偽の証明や通信の暗号化を行う一連の技術。
日本では一般向けの具体的な情報がどうも少ない
ITニュース系サイトでも取り上げられていますが、ネットで検索してみると、どちらかと言うと技術的な詳細について記述したものが多く、「一般のユーザーはどうしたらよいのか」を解説したページが少ないように思います。
ユーザーが取るべき対応としては、基本的には、該当したWebサイトのうち、
- 修正を適用済みのサイトではパスワードを変更したほうがよい
- 修正を適用していないサイトではパスワードを変更をしても無意味であるだけでなく、かえって危険
です。
今のところ、海外の Mashable や CNET といったニュースサイトで、どのサイトが該当する/しない、パスワードの変更等をした方がよいかどうかについて、主要なオンラインサービスのリストをアップしていますが、日本国内ではこうしたまとめ情報が非常に少なく、断片的な情報ばかりの印象を受けます。
Mashable
CNET
日本の場合(独立行政法人 情報処理推進機構(IPA) 関連サイト)
SSLを利用するサイトの30%、日本は45%のサイトが該当?
トレンドマイクロ社の調査によると、全世界のSSLを利用するサイトの30%、中でも日本は 45% ものサイトが該当するとの調査結果が出ています。
しかし、検索しても日本のサイトに関する情報が少なく海外の翻訳記事が出てくる程度で、どこが影響を受けているのか判断材料を探すのにも一苦労の状況です。
今回の脆弱性を修正できるのは、サーバー/ネットワーク管理者やネットワーク機器のベンダーのみで、基本的に、一般ユーザーは前述のように対策済みのWebサービスのパスワードを変更するくらいで、他にはほとんど手出しできません。(追記:後述の方法で個別にチェックすることは出来ます)
大手サービスでは、恐らくユーザー宛に案内メールなどが配信されているかもしれませんが、とりあえずは、情報を待つか問い合わせてみるしかなさそうです。
日本国内のサービス事業者のニュースリリース・お知らせなど(4/20追記・更新)
- OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について:IPA 独立行政法人 情報処理推進機構
- OpenSSL HeartBleed ニュースリリース お知らせ - Google 検索
ユーザー側で個別にチェックする方法(4/15追記)
現在、次のサイトでサイトのアドレスを入力して個別に簡易チェックをすることが出来ます。(ただし100%結果を保証するものではありません)
また、Google Chrome、Firefox を使っている場合は、このサイトで提供している拡張機能をインストールすることで、サイトにアクセスした際に自動的にチェックする事もできるので、こちらを使えば手間もかかりません。(4/22追記:Mac版 FoxBleed は正常に動作しないようなので、代わりに Heartbleed Notifier を使用してください)
これを機にパスワード管理の強化を
Twitter や Facebook、Dropbox や Evernote など、様々な Webサービスを利用していると、パスワードの変更や管理も一苦労です。
人によっては専用ソフトを使ったり、Excel ファイルにパスワードをつけて保存したり、手帳に書いたりしているかもしれませんが、やはり専用ソフトがあると便利です。
個人的には、以前から「1Password」という海外製ソフトをファミリーライセンスで購入して家族で使っており、各々、Mac と iPhone/iPad とで情報を同期させています。ログイン・パスワード以外にもクレジットカードの情報等も登録できるので、オンラインショッピングやインターネットバンキングの利用にも便利です。
ちなみに、自分が登録しているパスワード等の総件数を見てみたら、150件以上ありました。並大抵の人間ではそんなにも暗記できません。
パスワード管理ソフトベンダーも「今がチャンス」と軒並み値下げキャンペーンを行っているようなので、これを機に検討してみてはいかがでしょうか。
パスワード管理ソフトの例
1Password
https://itunes.apple.com/jp/app/1password/id443987910?mt=12&uo=4&at=1l3v2xF
ASCII.jp:iPhone必須アプリ! ID・パスワード管理「1Password」を徹底解説 (1/3)|柳谷智宣の「神アプリの説明書」Best Password Manager, Free Form Filler, Secure Digital Wallet | Dashlane
https://itunes.apple.com/jp/app/dashlane-password-manager/id552383089?mt=12&uo=4&at=1l3v2xF
スマホの面倒なID・パス入力は「Dashlane」で華麗にスルー - CNET JapanLastPass - パスワードマネージャ、フォーム記入、パスワード管理
【神アプリ】もう2度とID/パスワード忘れで悩まない!LastPass活用術 - NAVER まとめ