【OPENSSL】ネット史上最大のバグが発見【国レベルの問題に】

AOP1982

ネット史上最大のバグが発見。カナダは確定申告を緊急停止、危険度は10段階の11レベル

サイトでクレジットカード番号入力しても鍵がかかるから大丈夫、という過去15年ぐらいの安心感を根底から覆すバグが検出され、世界各地でサイト管理者を震え上がらせています。
ネット史上最大のバグが発見。カナダは確定申告を緊急停止、危険度は10段階の11レベル – Ameba News [アメーバニュース]

カナダ政府は確定申告のサービスを緊急閉鎖しました。この件に関して、セキュリティの専門家Bruce Schneier氏(Co3社CTO兼EFF理事兼ハーバード大フェロー)は「壊滅的。10段階評価で考えると、これは11レベル」と青筋立てて叫んでいます。
ネット史上最大のバグが発見。カナダは確定申告を緊急停止、危険度は10段階の11レベル – Ameba News [アメーバニュース]

バグの名前は「Heartbleed」

血を吹く心臓という意味です。

「OpenSSL」というソフトウェアライブラリにバグが発覚

「Secure Sockets Layer (SSL)」とその弟分「Transport Layer Security(TLS)」は問題ないので安心

SSLとは

裏で暗号鍵を交換してブラウザとサーバーが互いに相手の身元を確かめているんですが、この秘密のデジタルの握手を司るのがTLSとSSL。これがあるから我々は人に見られたくない情報をサイトと自分の間だけに留めておくことができるのです。

OpenSSLの問題点

OpenSSLは簡単に言うと、TLSやSSLの暗号化技術を迅速・簡単に装備できるオープンソースのパッケージなのですが、ここに「Heartbleed」の穴が何年も前(正確には2年前)からバックリ開いていたのでございます。

具体的には、

ある特定の(結構広く使われてる)バージョンのOpenSSLのコードに小さなエラーがあるため、攻撃者はその脆弱性を突いてTLSやSSLの保護を破り、中の非公開の情報を見放題できるんです。

どんな被害が出るの?

例えばユーザーが米Yahoo.comでメールアカウントにログインする際に攻撃者に秘密の握手を見られてしまうと、中の個人情報もその人に見られてしまいます。ユーザーネーム、パスワードはもちろん、覗かれた時に何かの決済をしてたら、クレジットカード情報も全部筒抜けです。

もっと怖いのは、個人情報を預かってるサイト側がどう身分証明してるのか、そっちも見られてしまうこと。

過去の決済を覗き見したり、サイトに入力した内容の傍受などやりたい放題です。

荒らされた痕跡も一切残りません。

OpenSSLが全てダメという訳ではない

OpenSSLとひと口に言っても、全バージョンが崩壊しているわけではありません。穴を塞いだ修正パッチも既に出ています。

だが、これまで何年間も穴は開きっぱなしだったわけで、被害の規模は予断を許さない状況

脆弱性があるバージョンのOpenSSLを採用しているサイトリスト

海外の分だけなので、日本は安心です

yahoo.com
imgur.com
stackoverflow.com
kickass.to
flickr.com
redtube.com
sogou.com
adf.ly
outbrain.com
archive.org
addthis.com
stackexchange.com
popads.net
avito.ru
kaskus.co.id
web.de
suning.com
zeobit.com
beeg.com
seznam.cz
okcupid.com
pch.com
xda-developers.com
steamcommunity.com
slate.com
scoop.it
hidemyass.com
123rf.com
m-w.com
dreamstime.com
amung.us
duckduckgo.com
leo.org
eventbrite.com
wetransfer.com
sh.st
entrepreneur.com
zoho.com
yts.re
usmagazine.com
fool.com
digitalpoint.com
picmonkey.com
petflow.com
squidoo.com
avazutracking.net
elegantthemes.com
500px.com

攻撃者は侵入の痕跡を残さないので、この中の何個が被害にあったサイトなのかは全くもって不明です。こうなったら全部侵入されたと思う方が安全でしょう。使用するサイトがやられてる人は、認証情報がどっか外に漏れてる可能性を疑ってみることですね。

サイトがOpenSSLの穴を塞いでも、まだ解決にはなりません

鍵を付け替える部分の作業が残ってます。鍵を挿げ替えた後でも、その前に漏れてしまった情報は二度と回収できないので、不安が一生つきまとうことに。

幸い決済の大手は大丈夫

例えばAmazonもGoogleもMicrosoftも「not vulnerable(脆弱性なし)」でセーフ。

個人情報を守るには

当面できることは限られています。
とりあえず上記のリストのサイトには近づかないことです。

サイトが穴を塞ぐのを待って、パスワードは変更、という流れがいいと思います。

個人情報には要注意です

https://matome.naver.jp/odai/2139712771327699601
2014年04月14日