主要な OpenSSL の脆弱性の詳細な説明: 誰が影響を受けるのか?どうすれば解決できるでしょうか?

さらに読む:

• OpenSSL がオンライン ショッピングの支払いパスワード漏洩につながる重大なセキュリティ脆弱性を明らかに
• OpenSSL が「壊滅的な」脆弱性を露呈、Baidu Accelerator が防御をリード
• OpenSSL の重大な脆弱性が明らかに: Yahoo やその他の Web サイトに影響
• OpenSSL の脆弱性の分析: 大きな影響、2 年前に存在
• インターネットの世界は最大の危機に瀕している：OpenSSL が重大なセキュリティ脆弱性を露呈
• パスワードを再度変更する必要がありますか?新たに明らかになった OpenSSL インシデントを確認する方法

最近、研究者らは、人気のネットワーク暗号化ソフトウェア OpenSSL に Heartbleed と呼ばれる重大な脆弱性があり、アカウントのパスワード、クレジットカード番号、その他の個人情報が盗まれる可能性があると発表した。すべての主要な主流ウェブサイトは、この問題に対処するための取り組みを強化しています。一体何が起こっているのか？一般のネットユーザーも影響を受けるのか？海外メディアは最近、こうした疑問に一つ一つ詳しい回答を提供した。

SSLとは何ですか?

SSL は、インターネット上のネットワーク ユーザーが送信する情報のプライバシーを保護する一般的な暗号化テクノロジです。たとえば、Gmail.com などの安全なサイトにアクセスすると、URL の左側に緑色の「ロック」アイコンが表示されます。これは、サイトとの通信が暗号化されていることを意味します。 Google Chrome では次のようになります。

ロックは、送受信した情報が第三者に読み取られないことを意味します。 SSL は、データを受信者だけが解読できる暗号化された情報に変換することでこれを実現します。ハッカーがあなたの会話を盗聴したとしても、メールの内容、Facebook の投稿、クレジットカード番号、その他の個人情報ではなく、ランダムなテキスト文字列しか見ることができません。

SSL は 1994 年に Netscape によって初めて導入され、1990 年代からすべての主要ブラウザで利用できるようになりました。近年では主流のオンラインサービスでもこの暗号化技術が使われる傾向にあります。現在、Google、Yahoo、Facebook はすべて、Web サイトとオンライン サービスにデフォルトで SSL 暗号化技術を使用しています。

Heartbleed脆弱性とは何ですか?

SSL 暗号化された Web サイトのほとんどは、OpenSSL と呼ばれるオープン ソース ソフトウェア パッケージに基づいています。月曜日、研究者らは、ユーザーの通信内容が漏洩する可能性のあるソフトウェアの重大な脆弱性を明らかにした。この脆弱性は OpenSSL に約 2 年間存在していました。

具体的には、SSL 標準にはハートビート オプションが含まれており、SSL 接続の一方のコンピュータが、もう一方のコンピュータがまだオンラインであることを確認するための短いメッセージを送信し、応答を受信できるようになります。研究者らは、偽装した悪意のあるハートビート メッセージを送信して、SSL 接続の反対側のコンピューターを騙し、機密情報を漏洩させることが可能であることを発見しました。つまり、コンピュータを騙してサーバーのメモリの内容を送信させてしまう可能性があるのです。

この脆弱性は大きな問題でしょうか?

はい。サーバーのメモリには大量の個人情報が保存されています。プリンストン大学のコンピューター科学者エド・フェルテン氏は、この手法を使う攻撃者は「パターンマッチングを通じて情報を整理し、暗号鍵、パスワード、クレジットカード番号などの個人情報を見つけようとする」と述べた。

アカウントのパスワードやクレジットカード番号の盗難の重大性は自明ですが、鍵の盗難はさらに深刻です。キーは、サーバーが受信した暗号化されたメッセージを解読するために使用するものです。攻撃者がサーバーの秘密鍵を入手した場合、サーバーに送信されたすべての情報を読み取ることができます。彼はその鍵を使ってサーバーを偽装し、ユーザーを騙してアカウントのパスワードやその他の機密情報を漏らすことさえできた。

脆弱性を発見したのは誰ですか?

これは、Codenomicon と Google Security の研究者によって独立して発見されました。脆弱性の公開によって生じる損害を最小限に抑えるため、研究者らは OpenSSL チームやその他の主要な内部関係者と協力して、公開前に修正プログラムを準備しました。

Heartbleed の脆弱性を悪用できるのは誰でしょうか?

「この脆弱性を悪用するのは、それを知っている人にとってはそれほど難しいことではない」とフェルテン氏は語った。この脆弱性を悪用するソフトウェアはインターネット上で入手可能です。このソフトウェアは iPad アプリケーションほど簡単には使えませんが、プログラミングの基礎知識があれば誰でも使い方がわかるでしょう。

もちろん、この脆弱性は、大規模なユーザートラフィックを傍受する能力を持つ諜報機関にとって最も価値があるかもしれません。国家安全保障局 (NSA) は、米国の通信サービスプロバイダーと秘密協定を結んでおり、インターネット バックボーンへのアクセスを許可しています。ユーザーは、Gmail や Facebook などのサイトでの SSL 暗号化により、覗き見から保護されると考えるかもしれません。しかし、Heartbleed の脆弱性により、NSA はプライベートな通信を解読するために必要な秘密鍵を入手できた可能性がある。

国民が知る前に NSA が Heartbleed の脆弱性の存在を発見していたとしても不思議ではないでしょう。 OpenSSL は世界で最も人気のある暗号化ソフトウェアであるため、NSA のセキュリティ専門家がこれまでに OpenSSL のソースコードを注意深く研究していた可能性は非常に高いです。

影響を受けるサイトはいくつありますか?

正確なデータはまだありませんが、脆弱性を発見した研究者は、最も人気のある 2 つの Web サーバーである Apache と nginx はどちらも OpenSSL を使用していると指摘しました。これらを合わせると、ウェブサイトの約 3 分の 2 をカバーします。 SSL は、デスクトップ メール クライアントやチャット ソフトウェアなどの他のネットワーク ソフトウェアでも使用されます。

研究者らは数日前、OpenSSL チームとその他の主要な関係者にこの脆弱性について通知した。その結果、OpenSSL は脆弱性が公開されると同時に OpenSSL ソフトウェアの修正バージョンをリリースすることができました。この脆弱性を排除するには、Web サイトが最新バージョンの OpenSSL を使用していることを確認するだけで済みます。

ヤフーの広報担当者は次のように述べた。「当社のチームはヤフーの主要サイト（ヤフーホーム、ヤフー検索、ヤフーメール、ヤフーファイナンス、ヤフースポーツ、ヤフーフード、ヤフーテック、Flickr、Tumblr）のすべてで修正を完了しており、現在、同社の他のサイトでも修正を実施中です。」

Googleは「SSLの脆弱性を評価し、主要なGoogleサービス全体で修正した」と述べた。Facebookも、脆弱性が発表された時点でこの問題を解決したと述べた。

マイクロソフトの広報担当者は、「OpenSSL ライブラリの問題に関する報告を受けています。当社のデバイスやサービスに影響があると判断された場合、お客様を保護するために必要な措置を講じます」と書いている。

ユーザーはどのように問題を解決できますか?

残念ながら、脆弱な OpenSSL ソフトウェアを使用している Web サイトにアクセスすると、ユーザーは自分自身を保護できません。問題のある Web サイトが OpenSSL ソフトウェアをアップグレードした後にのみ、ユーザーを保護できます。

ただし、影響を受けるサイトが OpenSSL ソフトウェアの問題を修正すると、ユーザーはパスワードを変更して自分自身を保護できるようになります。攻撃者は以前にユーザーのパスワードを傍受している可能性があり、フェルテン氏は、ユーザーは自分のパスワードが盗まれたかどうか分からない可能性があると述べた。

元のタイトル: OpenSSL の主要な脆弱性の詳細な説明: 誰が影響を受けるのか?どうすれば解決できるでしょうか?

キーワード: OpenSSL、脆弱性