■暗号化ソフトに欠陥・・・という記事
OpenSSLに「欠陥」が見つかったと世間を騒がせています。
通信の内容や、秘密鍵まで取得可能だったとか。
ニュースのタイトルでは『暗号化ソフトに欠陥』と出ており、パソコンで何か対応をしなくてはいけないのではないかという印象も受けます。
しかし原因はパソコン側にあるのではなく、WEB側/サーバ側にあるので、利用者側ではセキュリティ強化はできず、サーバ管理者またはホスティング業者さんに頑張ってもらうことになります。
■OpenSSLて何?
普段はあまり意識されないOpenSSLですが、意外と世間で活躍しています。ネットショッピングやネットバンキングでも使われていて、ログインして個人情報を入力するサイトなどで利用されています。
世界のウェブサイトの2/3で使用されているとか。
クレジットカード番号や、住所、電話番号がダダ漏れになるかもと思うと恐ろしいです。
■バージョンの確認
問題のOpenSSLのバージョンは1.0.1 から 1.0.1f / 1.0.2-beta から 1.0.2-beta1 まで。それよりも古いバージョンは問題ない様子。
※(JPCERT参考)
http://www.jpcert.or.jp/at/2014/at140013.html
2年前からある欠陥らしいですが、この脆弱性を狙った攻撃が急増しているとのことですので、サーバ管理者は早急にOpenSSLのバージョン確認をする必要がある。
バージョンの確認はTeraTermなどでサーバにログインし、以下のコマンドを実行。
# openssl version
また、秘密鍵が漏れている可能性があるなら、再発行する必要がありそうです。
ネット業界は対応に追われているようですが、脆弱性がわかってるのでこれからも攻撃は増えそうです。
ちなみにウチは大丈夫でした。今回は大丈夫でしたが、アップデートの方法も確認しておく予定です。
※4月18日に追記。
■利用者向けの対応
実は今月がクレジットカードの期限でした。カードで定期的に支払っているものが一件あり、カード情報更新の案内メールがちょうど届いていたのです。
該当の会社の会員ページを見ても、OpenSSLにまつわる情報等はどこにも出ていません。
念のため、サポート窓口に連絡。クレジットカード期限が今月で切れるので、会員ページからカード番号の更新手続き依頼のメールがあった旨を説明した。
そして、
「OpenSSLの問題が話題になっていますが、こちらのページはクレジットカード番号を入力しても大丈夫ですか?暗号化の問題とかありませんか?」と、質問。
窓口の担当の方は一瞬面喰った様子でしたが、
「本部からそのような通達は出ていないため、問題ないととらえています。」という回答でした。
『既に確認済みですが、当社は全く問題ありません。』
と即答していただけると利用者も安心できるのですが、窓口の人はよくわからないのかもしれないという印象が残りました。
相手に不安を残してもマズいので、窓口担当者に通達を出しておくことにしました。
※6月に追記
トレンドマイクロによると4月23日の時点で、JPドメインでSSLを導入しているサイトのうち、脆弱性を抱えているのは9.63%ある様子。
平均よりは低いですが、どうなのでしょう。安全と取るか、10件に1件弱は脆弱性がを抱えている可能性があると取るか。