ネットの安全神話の崩壊「Heartbleed(心臓からの出血)」の恐怖 本当の被害は対策後にやってくる

写真拡大 (全3枚)

これまで築き上げられてきた安全神話がインターネットでも崩壊した。インターネット上の安全なやりとりを担保するはずだった絶対的な仕組みが、実は機能していないことがわかったのだ。例えで言えば、命を守ってくれると信じていた「エアバッグ」が、もっとも必要な事故時に開かなかった、そんな感じだろうか。

暗号化ソフトのOpen SSLにバグが見つかったのである。日がたつにつれ、国内での被害数も拡大しており、各方面でも問題の大きさに気づき始めている。この事実が発表された4月8日からの動きをまとめた。

●「https://」で始まる通販や金融サイトなどの情報がダダ漏れだった可能性が……
Amazonや楽天などのオンラインショップ、銀行・証券などの金融関連、TwitterやFacebookなどのSNS、企業の会員サイト……等々。URLが「https://」で始まるこれらのサイトは、ブラウザとサーバ間の通信がSSLという仕組みで暗号化されている。この暗号化のおかげで、仮に情報が盗まれても中身の情報を読めないので、IDやパスワードが漏れる心配はない、、、ハズだった。

ところが、4月8日、この前提が根こそぎ崩れた。OpenSSLというソフトウェアにバグ(不具合)が発見されたのだ。OpenSSLは、SSLの仕組みを作るオープンソースのソフトウェアで、インターネット上の半数以上のWebサイトで使われていると言われている。しかも、このバグは、2年以上にわたって放置されたままになっていたのだ。

その深刻さから、セキュリティ研究者達は、このバグを「Heartbleed」と呼んだ。「心臓からの出血」という意味だ。


「https://」で始まるサイトはSSLによって暗号化されていて安全とされていたが……。なお、画面のGmailはすでに対応済みで安全だ


●深刻な問題だからこそ、セキュリティ企業や著名サイトは迅速に動いた
インターネットの著名サイトやセキュリティ企業の対応は迅速だった。Googleは米国時間の4月9日までに、修正対応した。またAmazonもアナウンスをだし、マイクロソフトも自社のサービスが影響を受けないことを発表した。

こうしたサービス側だけでなく、セキュリティ企業のシマンテックからは、Heartbleedの専用ページを設置し、Heartbleedが与える影響や対策についての資料も提供している。さらに、Webサイトの安全性をチェックする「Symantec SSL Toolbox」も提供しており、調べたいサイトのURLを入力すると、安全かどうかを判定することができる。


検索サービス、Gmail、YouTube、Wallet、Google Play、Google Appsなどの主要サービスで問題を修正(Google)
自社のサービスへの影響についてのレポート(Amazon)
自社のサービスが影響を受けないことを発表(マイクロソフト)
Heartbleedの専用ページ(シマンテック)
Heartbleedが与える影響や対策をまとめた資料(シマンテック)
Symantec SSL Toolbox



Symantec SSL Toolbox。調べたいサイト(URLが「https://」で始まるサイト)の安全性をチェックできる


こうした対応の結果、シマンテックの資料によると、世界のアクセス数上位1000サイトはすべて脆弱性に対応済みで、上位50000サイトのうち、影響を受けるのは1.8%であると報告されている。少なくとも、公式な発表から1週間ほどで、見つかった穴は急速にふさがれているようだ。

●本当の被害の危険はこれから? 自分が攻撃者なら盗んだ情報は忘れられたころに使う
Heartbleedの被害は、すでにカナダや英国では報告されている。また日本でも警察庁からこの脆弱性を突いたアクセスが増加しているとして、「OpenSSL脆弱性を標的としたアクセスの増加について」といった注意を呼びかけている。

ただし、Heartbleedの本格的な被害や影響が出るのはこれからだろう。最大の問題は、このバグが2年間も放置されていたことだ。もし、攻撃者がこのバグを独自に見つけ、悪用していたとしたら、最大で2年間、SSLでやりとりされるIDやパスワードなどの機密情報が盗み放題だったことになる。

もちろん、そんな人物はいなかったかもしれない。しかし、2013年だけでもインターネット利用者は28億人もいるのだ。これだけの人間が利用していたら、悪用する人がいても不思議はない。逆に悪用する人がまったくいないと考えるほうが、リアリティがない。


カナダや英国では報告
OpenSSL の脆弱性を標的としたアクセスの増加について(警視庁)
2013年世界におけるインターネットの利用者数


もしも、自分が悪用しようする一人なら、盗んだリストは、決して今は使わないだろう。世間が「Heartbleed(心臓からの出血)」のことを忘れ、静かになったころに悪用する。さらに自らリスクを冒して侵入する必要もない。なぜなら「心臓からの出血(Heartbleed)」を利用して盗んだリストを購入したい連中は、世界中にいくらでもいるからだ。このリストなら間違いなく高値で売れることを彼らは知っている。慌てず、「心臓からの出血(Heartbleed)」の騒ぎが鎮静化するのを、今もまっているだろう。

いま、ユーザーができる最善の策は、利用しているサイトがHeartbleedの脆弱性対策済みであることを確認したうえで、パスワードを変更することだ。いますぐ対応するのが難しいなら、オンラインバンクなど、漏れた際にダメージが大きいサイトだけでも変更しておく方がよいだろう。

インターネット崩壊!? 「心臓出血」(Heartbleed)より深刻なDNSキャッシュポイズニング攻撃の手法が公開される
急増するネットバンク被害は14億円超 ついに登場したネットバンキング専用ウイルス対策ソフトの使い勝手


井上健語(フリーランスライター)