OpenSSL「Heartbleed」の説明: これまでで最も危険な Web サイト セキュリティの脆弱性?

はじめに: 現在最も人気のある 2 つの Web サーバーである Apache と nginx は、どちらも OpenSSL を使用しています。これら 2 種類のサーバーを合わせると、世界中の Web サイト全体の約 3 分の 2 を占めます。

米国のニュースサイト「Vox」は火曜日、同日発表されたOpenSSLの「Heartbleed」脆弱性について包括的な解説記事を掲載した。

記事の全文は次のとおりです。

SSLとは何ですか?

SSL は、インターネット経由で送信されるユーザー情報のプライバシーを保護できる一般的な暗号化技術です。ユーザーが Gmail.com などの安全な Web サイトにアクセスすると、URL アドレスの横に「ロック」が表示され、Web サイト上の通信が暗号化されていることがわかります。

この「ロック」は、ユーザーとウェブサイト間の通信が第三者によって読み取られないことを示します。バックグラウンドでは、SSL 経由で暗号化されたデータは受信者のみが復号化できます。犯罪者がユーザーの会話を盗聴しても、電子メール、Facebook の投稿、クレジットカードのアカウント番号、その他の個人情報の具体的な内容を理解することができず、ランダムな文字列しか見えません。

SSL は 1994 年に Netscape によって初めて導入され、1990 年代以降、すべての主要ブラウザで採用されています。近年、多くの大規模なインターネット サービスがこの技術を使用して、デフォルトでデータを暗号化しています。現在、Google、Yahoo、Facebook はすべて、デフォルトで SSL を使用して Web サイトと Web サービスを暗号化しています。

Heartbleed脆弱性とは何ですか?

SSL 暗号化された Web サイトのほとんどは、OpenSSL と呼ばれるオープン ソース ソフトウェア パッケージを使用しています。月曜日、研究者らは、ユーザーの通信が盗聴される可能性があるソフトウェアの重大な脆弱性を発表した。 OpenSSL にはこの欠陥が約 2 年間存在していました。

仕組み: SSL 標準にはハートビート オプションが含まれており、SSL 接続の一方のコンピュータが短いメッセージを送信して、もう一方のコンピュータがまだオンラインであることを確認し、フィードバックを得ることができます。研究者らは、巧妙な手段で悪意のあるハートビートメッセージを送信し、相手側のコンピューターを騙して機密情報を漏らす可能性があることを発見した。影響を受けたコンピュータは、サーバーのメモリから情報を送信するように騙される可能性があります。

この脆弱性の影響はどの程度大きいのでしょうか?

大量の個人情報がサーバーメモリに保存されるため、サイズが大きくなります。プリンストン大学のコンピューター科学者エド・フェルテン氏は、この技術を使う攻撃者はパターンマッチングを通じて情報を選別し、暗号鍵、パスワード、クレジットカード番号などの個人情報を発見できると述べた。

クレジットカード番号やパスワードを紛失することがどれほど有害であるかは言うまでもないと思います。しかし、鍵が盗まれた場合の影響ははるかに深刻になる可能性があります。これは、情報サーバーが暗号化された情報を整理するために使用するコードのセットです。攻撃者がサーバーの秘密鍵を入手した場合、サーバーが受信したすべての情報を読み取ることができ、さらにその鍵を使用してサーバーを偽装し、ユーザーを騙してパスワードやその他の機密情報を漏らすこともできます。

この問題を発見したのは誰ですか?

この脆弱性は、Codenomicon と Google Security の研究者によって独立して発見されました。影響を最小限に抑えるために、研究者は OpenSSL チームや他の主要な関係者と協力して、問題を公表する前に修正プログラムを準備しました。

Heartbleed の脆弱性を悪用できるのは誰でしょうか?

「この脆弱性を知っている人にとって、それを悪用するのは難しくない」とフェルテン氏は語った。この脆弱性を悪用できるソフトウェアはオンラインで多数入手可能です。iPad アプリほど簡単には使えませんが、基本的なプログラミング スキルがあれば誰でも使い方を学ぶことができます。

もちろん、この脆弱性は、大規模なユーザー トラフィックを傍受するのに十分なインフラストラクチャを備えた諜報機関にとって最も価値がある可能性があります。国家安全保障局（NSA）がインターネットバックボーンへのアクセスを得るために米国の通信事業者と秘密協定を結んだことは分かっています。ユーザーは、Gmail や Facebook などのサイトで SSL 暗号化が盗聴から保護されていると信じているかもしれませんが、NSA は Heartbleed の脆弱性を利用して、通信を復号化するための秘密鍵を入手することができました。

断言するのは時期尚早だが、Heartbleed の脆弱性が公表される前に NSA がそれを発見していたとしても驚くには当たらないだろう。 OpenSSL は現在最も広く使用されている暗号化ソフトウェアの 1 つであるため、NSA のセキュリティ専門家がそのソース コードを詳細に研究していることは間違いありません。 '

影響を受けるサイトはいくつありますか?

具体的な統計は入手できないが、この脆弱性を発見した研究者は、現在最も人気のある 2 つの Web サーバーである Apache と nginx が両方とも OpenSSL を使用していると指摘した。これら 2 種類のサーバーを合わせると、世界中の Web サイト全体の約 3 分の 2 を占めます。 SSL は、デスクトップ メール クライアントやチャット ソフトウェアなどの他のインターネット ソフトウェアでも使用されます。

この脆弱性を発見した研究者は数日前に OpenSSL チームと主要な関係者に通知しました。これにより、OpenSSL は脆弱性が発表された当日に修正バージョンをリリースすることができました。この問題を解決するには、主要な Web サイトはできるだけ早く最新バージョンの OpenSSL をインストールする必要があります。

ヤフーの広報担当者は次のように述べた。「当社のチームは、ヤフーの主要サイト（ヤフーホーム、ヤフー検索、ヤフーメール、ヤフーファイナンス、ヤフースポーツ、ヤフーフード、ヤフーテック、Flickr、Tumblr など）に適切な修正プログラムを適用することに成功しており、現在は残りのサイトにも修正プログラムを適用する作業を進めています。」

グーグルは「SSLの脆弱性を評価し、重要なグーグルサービス全体にパッチを適用した」と述べた。フェイスブックは、この問題が公表された時点ですでに対処していたと述べた。

マイクロソフトの広報担当者も「OpenSSLの問題に関する報告を監視している。当社のデバイスやサービスに影響があれば、ユーザーを保護するために必要な措置を講じる」と述べた。

ユーザーはこの問題にどのように対処すべきでしょうか?

残念ながら、影響を受ける Web サイトにアクセスした場合、ユーザーが自分自身を守るためにできることは何もありません。影響を受ける Web サイトの管理者は、ユーザーに適切な保護を提供するためにソフトウェアをアップグレードする必要があります。

ただし、影響を受けるサイトが問題を修正すると、ユーザーはパスワードを変更して自分自身を保護できるようになります。攻撃者がユーザーのパスワードを傍受した可能性はありますが、ユーザーには自分のパスワードが他の誰かに盗まれたかどうかを知る方法はありません。 （シュウユウ）

元のタイトル: OpenSSL「Heartbleed」の分析: 最も危険な Web サイト セキュリティの脆弱性?

キーワード: OpenSSL、脆弱性、ネットワーク セキュリティ