「ハートブリーディング」脆弱性が国内の主要ウェブサイトに影響、アリペイ、タオバオなど多くのウェブサイトが修正

「4月8日はハッカーやホワイトハットにとって眠れない夜だ」誰かがこう表現した。午前中はまだ WIN XP サービスの廃止について議論されていましたが、夕方になると OpenSSL の脆弱性に関するニュースが至る所で報じられました。

OpenSSL は、ネットワーク通信のセキュリティとデータの整合性を提供するセキュリティプロトコルです。主要なオンラインバンク、オンライン決済、電子商取引 Web サイト、ポータル、電子メールなどで広く使用されています。多くの企業やサービスプロバイダーがデータの暗号化に使用しているこのセキュリティプロトコルは、今年最も深刻なセキュリティ脆弱性を露呈しました。ハッカーはこの脆弱性を利用して、サーバーメモリから 64KB のデータを盗むことができます。64KB のデータは大きな量ではありませんが、ハッカーはこの脆弱性を再利用してデータを複数回盗み、ユーザーの暗号化キーを入手して機密データを復号化することができます。

一例を挙げると、OpenSSL はインターネット上で最も広く使用されている「ドアロック」ですが、この脆弱性により、特定のバージョンの OpenSSL が無防備な金庫になってしまいます。

セキュリティの脆弱性

ハッカーとホワイトハットは一晩中忙しかった

「（このニュースは）最初に海外のフォーラムで目にし、すぐに中国国内に広まった」とキングソフトのチーフセキュリティ専門家、李鉄軍氏は語った。4月7日（米国現地時間）、ハッカーがOpenSSLの旧バージョンにセキュリティ上の脆弱性があることを発表した。「脆弱性のメカニズムが非常に詳細に説明されていたため、コミュニティ内で急速に広まった」

この脆弱性が明らかになったのは、かなり危険な時期だった。ハッカーはすでに勢力を増していたが、一部の企業幹部は眠っていたのだ。発見者はこの脆弱性に「ハートブリード」という非常にわかりやすい名前を付けました。これは文字通り「心臓の出血」を意味します。その夜、インターネットのセキュリティ中核が崩壊し始めた。

ハッカー、ホワイトハット、運用・保守管理者、セキュリティベンダーは皆、その「血」の匂いを嗅ぎつけ、動き出した。彼らの一部はパーティーを始め、厳重に警備されたウェブサイトに一つずつ侵入し、漏洩したデータを収集し始めた。一部は、どれだけのウェブサイトが影響を受けたかをテストし、検出スクリプトを起動し始めた。一部は脆弱性情報を収集し、顧客を説得して問題の深刻さを説明する準備をしていた。一部は緊急警報を発し、一晩でシステムのバージョンを修復・アップグレードし始めた。WooYun脆弱性プラットフォーム上の多くのホワイトハットが、広範囲のウェブサイトをテストしてスコアリングし始め、その光景は非常に壮観だった...しかし、一般のネットユーザーはそれをまったく知らなかった。

「すぐに、ハッカーたちも OpenSSL の古いバージョンに対する『絶対確実な攻撃』をリリースしました。」Li Tiejun 氏は、これは専門技術者でなくても同じパターンに従うだけで脆弱性を悪用してサーバーからデータを盗むことができることを意味すると説明した。

「この脆弱性を受け取った後、私たちはまずAlipayをテストし、この脆弱性の存在を確認し、検出を開始しました。その後、この脆弱性がYahooポータルホームページ、WeChatパブリックアカウント、WeChatウェブバージョン、YY言語、Taobao、オンラインバンキング、Momo、ソーシャルネットワーキング、ポータルサイトに存在することがわかりました。」ネットユーザーのEvi1m0はZhihuで次のように明らかにしました。「ソーシャルネットワーキングサイトで、ユーザーのログインアカウントとパスワード、さらにはセキュリティの質問と答えを入手しました。ここでのパスワードはプレーンテキストで送信されるため、このような脆弱性攻撃を通じて、数百のアカウントにログインできました。もちろん、何もしていません。テストのためだけです。」

国内の有名ウェブサイトも例外ではない

現在、AlipayとTaobaoは脆弱性を修正している。

この脆弱性の影響はどの程度大きいのでしょうか。セキュリティ専門家は、サイバースペースの検索エンジンであり、業界で認められた権威である zoomeye (Zhong Kui's Eye) のスキャンデータを参照することを一致して推奨しています。 zoomeye システムスキャンによると、中国では少なくとも 33,303 台のサーバーがこの OpenSSL の脆弱性の影響を受けています。 NetEase、WeChat、QQ Mail、Momo、Yahoo、Bitcoin China、Alipay、Zhihu、Taobao、360 Apps、JD.com（ローリングニュース）、YY Language...消費からコミュニケーション、ソーシャルネットワーキングまで、国内のほぼすべての有名なWebサイトが影響を受けました。しかし、多くのユーザーはこれに気づかず、依然として虎の口の中のサイトを訪問し続けています。

幸いなことに、公式は脆弱性の修正をすぐにリリースしました。これは OpenSSL の古いバージョンのセキュリティ脆弱性であるため、開発者はサーバープログラムを OpenSSL1.0.1g にアップグレードすることで解決できます。

「現在、テンセントのいくつかの主要製品ラインはアップグレードと修復が行われており、脆弱性が修正されたことを確認するためにスキャンが繰り返し実施されています。」テンセントの関係者は、電子メール、Tenpay、QQ、WeChatなど、テンセント関連の製品ビジネスは安心して使用できると述べました。

「アリババのウェブサイトは現在、問題はない」。アリババグループの関係者も、技術部門が脆弱性の知らせを受けてすぐに、一晩でバージョンをアップグレードし、脆弱性を修正したと語った。現在、Alipay、Taobao、Tmallは正常にご利用いただけます。

記事執筆時点では、Alipay、Taobao、WeChat、QQプラットフォーム、NetEase、12306鉄道顧客サービスセンターなどの主要なウェブサイトが脆弱性を修正している。

未知のリスクへの対処

セキュリティ専門家が2つの提案

インターネットポータルが全面オープンとなった「恐怖の夜」は過ぎ去った。最初から最後まで、大多数のネットユーザーは何も知らなかった。

私たちは安全ですか？

zoomeye システムのスキャン結果から、脆弱性の影響を受ける 33,303 台のサーバーよりも心配なのは、これらのサーバーの一部が銀行のオンラインバンキングシステム内にあること、一部がサードパーティの支払いシステムに導入されていること、一部が大規模な電子商取引 Web サイトに配置されていること、一部がネットワークメールボックスやインスタントメッセージングシステムに配置されていることです...

「特に現在、インターネット金融と第三者決済が急速に発展しており、これは、これまで銀行カードとPOS端末で行われていた取引が徐々にインターネットに移行し、ネットワークセキュリティに対する要求がますます高まることを意味します。」李鉄軍氏は、サーバー側はユーザー側よりもさらに制御不能であることを認めた。ハッカーがサーバーに侵入した場合、被害は会社自体だけでなく、会社のデータベースに保存されている大量の機密ユーザー情報にも及ぶだろう。

「この脆弱性は2012年には発見されていたと言われていますが、昨日CVE番号CVE-2014-0160に含まれるまで正式に公開されていませんでした。」Evi1m0はZhihuで、「HTTPSを使用するWebサイトは、スニッフィングやその他の攻撃を防ぐためにデータ暗号化を使用することがほとんどです。脆弱性が露出した後、この扉は完全に破られ、多くのWebサイトが監視されている状態になっています。」とも明らかにした。

2年以上もの間、ハッカーがこの脆弱性を悪用してユーザー情報を入手したかどうかは誰にもわかりません。また、この脆弱性はハッキングされてもサーバーログに痕跡を残さないため、どのサーバーがハッキングされたのか確認する方法が現在なく、損失の場所を特定したり、漏洩した情報を確認したり、状況を改善するようユーザーに通知する方法もありません。

「罠に陥らないために、過去2日間はパッチ未適用のサーバーにログインしないでください。ユーザー名やパスワードを変更したい場合でも、数日待ってください。」複数のセキュリティ専門家が出したアドバイスは一貫していた。最近、ネットユーザーがいくつかの主要なサービスウェブサイトにログインしているため、ウェブサイトが脆弱性の修復を完了していない場合、ログイン情報がハッカーによってリモートで取得される可能性があります。

zoomeye のスキャン結果と関係者のリストは、手順にしたがって全国的な警告を発令するはずの国立インターネット緊急センターに提出されているが、記事執筆時点では国立インターネット緊急センターの公式ウェブサイトでは関連情報は公開されていない。

実際、中国移動や中国聯通などの大企業を除けば、国家インターネット緊急センターには他の企業に警告内容を見せることを保証する権限がなく、OpenSSLの旧バージョンのセキュリティ脆弱性を修正する時期は不確定な値となっている。

一般ユーザーは何をすべきでしょうか？脆弱性の後にハッカーにユーザーのパスワードが盗まれるのを避けるために、関連するウェブサイトのセキュリティを確認する前に、オンラインバンキング、電子決済、電子商取引ショッピングなどの機能を使用しないことに加えて。

セキュリティ専門家は、2 つの提案をしています。まず、Alipay、電子メールなどの重要なサービスでは、可能な限り携帯電話による認証または動的パスワードを有効にしてください。重要なサービスにログインするときは、ユーザー名とパスワードを確認するだけでなく、携帯電話をバインドして携帯電話の確認コードでログインするのが最適です。この方法では、ハッカーがアカウントのパスワードを入手したとしても、ログインするには別のハードルが残ります。第二に、インシデントの進行に伴って、影響を受ける可能性のあるネットワークサービスの数が増えたり、明らかになったりした場合は、重要なサービスのログインパスワードを変更することをユーザーに推奨します。また、パスワードは長期間使用しないでください。3 か月を超える場合は変更する必要があります。