Heartbleed問題とは?いまさら聞けないトレンドワード解説その2
trend

Heartbleed問題とは?
いまさら聞けないトレンドワード解説その2

2014.08.12

ent50_img01.jpg

Heartbleedとは、OpenSSL(オープンソース暗号化ライブラリ)の致命的なバグのこと。
2014年4月、このバグを利用したオンラインサービスのパスワードやクッキー情報が多数流出し、世界的な大問題となりました。
なぜ、こんな事態が発生したのか。大切な個人情報を流出させないために、できることは何か。
まとめてみました。(イワタテ

■世界中で使われている便利なソフトウェアだったから、世界中に問題が拡散した!

OpenSSLは、インターネット上の暗号化という分野では世界標準の技術。

Facebookや金融機関など、個人情報を扱う多くのウェブサイトで利用されていました。

Heartbleedを悪用すると、こうしたすべてのウェブサイトで入力したIDやパスワード、クレジットカード情報を他人に覗き見されることが可能となってしまいます。

Heartbleed問題のヤバさについての表現では、以下のTweetが有名です。

ent50_img02.jpg

■いつバグが混入したの?もう脆弱性は更新された?

バグが混入したのは、ドイツ人開発者のロビン・セゲルマン2011年12月31日に提出したパッチ。

当人にはバグの認識はなく、開発チームのレビュー時にも、バグは発見されませんでした。

この脆弱性が混入したコードは2012年3月、OpenSSLのバージョン1.0.1に採用。

バグの存在が発表される2014年4月まで、およそ2年もの間、重大な脆弱性を抱えたまま放置されてしまいました。

現在では、脆弱性を修正したバージョン(1.0.1g以降)が公開されています。

■個人ユーザーは、情報を流出させないためにパスワードを変更しよう!

バグの修正が終わっているウェブサービス上では、パスワードの変更を行いましょう。

Google、Facebook、Instagram、Tumblr、Dropboxなどは、すでにバグの修正が完了したことを発表しています。

ただし、バグの修正前には脆弱性が存在したことは確かです。

すでに悪意のある第三者の手によりパスワードが流出している可能性があるため、バグの修正以前と修正以後とでは、異なるパスワードに変更しておくのが安心でしょう。

■修正対応が完了していないサービスではパスワードを変えても意味なし?

注意したいのは、バグの修正対応が完了済であることを必ず確認すること。

せっかくパスワードを変更しても、Heartbleed問題が解決していないサービス上では改めて新しいパスワードを盗まれてしまいます。

バグの修正対応については、多くのサービスが対応状況を公式発表しています。

確認できない場合は、直接窓口に問い合わせしましょう。

■Heartbleed問題に便乗したフィッシングメールに注意!

Heartbleed問題に便乗して、悪意のある詐欺グループが有名企業やウェブサービスを装い「今すぐパスワードの変更を!」と、ニセのウェブサイトに誘導する事例も発生しています。

IDやパスワード、銀行預金口座やクレジットカード番号といった個人情報を入力する際は、メールからではなく、ブックマークなどから直接企業のサイトを訪問するなどの注意が必要です。

■サービスの提供側はHeatbleed問題で顧客の情報が流出していないか確認が必要!

ウェブエンジニアであれば、お客様のウェブサイトにHeartbleedの問題が眠っていないか確認しなければなりません。

自社サイトやクライアントサイトに問題がないか確認するためには、以下のサービスがお手軽です。

https://filippo.io/Heartbleed/

レンタルサーバーを利用している場合は、SSLの発行はサーバー提供会社が代行している場合が多いため、サーバー会社のお知らせページを確認しましょう。

問題があった場合、速やかに担当者に連絡を入れるか、ご自身でOpenSSLの更新、あるいは代替の技術に差し替えることになります。

個人情報の流出は、個人にとっても、サービス提供側にとっても、命取りになりかねない大問題。

これからのIT業界ではますます、セキュリティの重要度は増していくことでしょう。

Heartbleedへの対応も、面倒なコストとしてではなく、危機感を新たにするチャンスととらえると良いかもしれません。

原稿:イワタテ
西東京市でコピーライター事務所をやってるイワタテです。
好きな言葉は「愛娘」。趣味は愛娘の写真撮影。
よく書くジャンルは、人材系、ビジネス系、IT系、ライフハック系、不動産系、おもしろ系……全部ですね。
Facebookの友達申請、お待ちしています。
https://www.facebook.com/iwatate1978

この記事はどうでしたか?

おすすめの記事

キャリアを考える

BACK TO TOP ∧

FOLLOW