OpenSSL脆弱性のあるウェブサイトに注意

いろいろなウェブサイトで会員登録やユーザー登録をして、ポイントを貯めたり、お得な情報をもらったりすることは、いまやごく一般的だ。登録の時には名前、住所、メールアドレス、パスワードという個人情報を入力するわけだが、そのウェブサイトに「SSL通信対応」と記載されていたり、アドレスバーに「https」と表示されていたりすると、安心して入力や送信ができていた。しかしこのような暗号化通信に広く利用されている「OpenSSL」に情報漏えいを引き起こしかねない脆弱性が見つかったからさあ大変。「OpenSSL」を利用しているウェブサイトは、対策に追われることになった。

IPA(情報処理推進機構)でも、ウェブサイト運営者に対策を呼びかけているが、この脆弱性を悪用されると、困った事態が起こるという。一つは攻撃者にウェブサイト利用者のIDやパスワードを盗まれること。盗まれてしまうと「なりすまし」の被害に遭う可能性がある。2つめはそのウェブサイトがSSL通信の時に利用する秘密鍵を盗まれてしまうこと。秘密鍵を入手した攻撃者は簡単に暗号化された通信内容を解読できる。つまり暗号化して送った個人情報などが丸見えにされてしまうのだ。

多くの大手ウェブサイトや人気ウェブサイトは、早急に対応したという。しかし利用者側から見るとウェブサイトで「対応済み」とアナウンスしてくれない限り安全かどうかわからないのが辛いところだ。しっかり安全性を確認したい時はシマンテックの「Norton Safe Web-Heartbleed Check」http://safeweb.norton.com/heartbleedを利用しよう。「https」で始まるURLを入力すれば、そのウェブサイトに「OpenSSL」の脆弱性があるかどうか確認できるから安心だ。その他にもウェブサイト利用者がとるべき対応として6つの項目を挙げているので、自己防衛としてできる限り実行しよう。

◎利用するウェブサイトが安全かどうか確認
◎利用しているウェブサイトからパスワード変更を求められたら速やかに実施
◎ソフトウェア、ハードウェアのベンダーがパッチを公開したら速やかに更新
◎公共ネットワークではHeartbleed脆弱性のないVPNクライアントを利用
◎パスワード更新メールがきたら、公式サイトのドメインかどうか確認
◎銀行口座やクレジットカードの明細に不審な取引がないか確認

今回の「OpenSSL」の脆弱性を悪用した不正アクセスについては、対策が進んだこともあって2014年4月をピークに沈静化してきているようだが、まだまだ用心する必要がある。インターネットに潜む脅威は本当にいろいろなところからやってくる。だからPCには必ずセキュリティ対策を施して、安心して利用しよう。

【出典】
出典:IPA(情報処理推進機構)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
シマンテック
http://www.symantec.com/ja/jp/outbreak/?id=heartbleed