2014年4月13日日曜日

OpenSSLの重大バグ「ハートブリード」に対して、とりえあずパスワードを変更した

1. OpenSSL の重大なバグ「ハートブリード」

SnapCrab_No-1191Windows XP のサポートが終了となった 4月8日。それにタイミングを合わせたかのような OpenSSL の重大なバグの発表。これにより、XP の移行問題が吹っ飛んだような感がある。

OpenSSL – Wikipedia によると、

2014年4月7日に、OpenSSLの1.0.2-betaや1.0.1系列で、TLSのheartbeat拡張[13]について、メモリの扱いにバグがあると発表された[14]

最悪の場合、セキュリティが確保されている信頼していた通信が内容が丸見え。

ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11? : ギズモード・ジャパン によると、

ある特定の(結構広く使われてる)バージョンのOpenSSLのコードに小さなエラーがあるため、攻撃者はその脆弱性を突いてTLSやSSLの保護を破り、中の非公開の情報を見放題できるんです。秘密の握手も丸見え。

これで生じる問題は何点かあります。

まず、例えばユーザーが米Yahoo.comでメールアカウントにログインする際に攻撃者に秘密の握手を見られてしまうと、中の個人情報もその人に見られてしまいます。ユーザーネーム、パスワードはもちろん、覗かれた時に何かの決済をしてたら、クレジットカード情報も全部筒抜けです。

流石なのは NSA. ちゃっかりバグを利用して情報収集していたらしい。

暗号化ソフト欠陥、NSAは2年前から認識-情報収集に利用 – Bloomberg によると、

インターネットで広く使われる暗号化ソフトに見つかった深刻な欠陥「ハートブリード(心臓出血)」について、米国家安全保障局(NSA)は少なくとも2年前から認識しておりながら放置し、情報収集のために定期的に利用していたと事情に詳しい関係者2人が明らかにした。

追記(2014/6/22): これに対して、NSA、「Heartbleed脆弱性を情報収集に利用していた」とする報道を否定 -INTERNET Watch によると、

NSAや政府機関がHearbleedの脆弱性を2014年4月より前に知っていたというのは誤りで、民間のセキュリティ企業などが公表するまで連邦政府は脆弱性を認識していなかったと説明。政府のウェブサイトやその他のオンラインサービスでも利用者のプライバシー保護のためにOpenSSLを使用しており、もし先に脆弱性を発見していたならば、OpenSSLのコミュニティに連絡していただろうとしている。

「ハートブリード」について、詳しくは以下を参照。

 

2. 面倒だけれどパスワードを変更した

OpenSSL のバグに対して、自分ができることは利用しているサービスのパスーワードを変更すること。

ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法 | ReadWrite Japan によると、

個人ユーザーがやるべきことの基本的なチェックリストは次のとおりだ。

・まず、よく使うサイトが Heartbleed の影響を受けていたかを調べる。

・対象サイトのパスワードを直ちに変更する。

・対象サイトを頻繁に訪れ、バグの修正とデジタル証明書の再発行が行われたかどうか確認する。

・対象サイトの証明書が新しくなったら再びパスワードを変更する。

とりあえず、自分が利用している主要なサービスについて、パスワードを変更することにした。

Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧 : ギズモード・ジャパン によると、

以下のリストのサイトはすでに修正対応済みなので、ここでパスワード変更しても誰かにのぞき見られることはありません。逆に、修正未対応のサイトでパスワード変更しても、また誰かにのぞかれる可能性があるので意味がありません。

上記サービスを使っている人は、早急なパスワード変更をお勧めします。

その他に、OpenSSLの重大バグ「Heartbleed」発覚に伴い、あなたが今すぐパスワードを変更するべきサービス一覧 | gori.me(ゴリミー) によると、

 

パスワードを変更する管理画面

上記サービスにおいて、「パスワードを変更する管理画面」は以下の URL。

面倒だけれど、がんばって変更した。 (+_+)

 

3. サイトの脆弱性のチェックするサービス

ハートブリードをテストするサイトがある。

SnapCrab_No-0939

ASCII.jp:ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法 によると、

お気に入りのサイトで、自分のデータは安全に保護されているだろうか?イタリアのプログラマー、フィリッポ・ヴァルソルダの開発したツール「Heartbleed test」を使って、そのサイトが Heartbleed バグの影響を受けているか確認しよう。もしそうだった場合には、そのサイトがまだ改修を完了していなかったとしても、まずパスワードを変更することが最善の方法だ。新しいパスワードも盗まれる可能性があるので完璧に安全とは言えないが、データが盗まれるまでの時間を稼ぐことはできるかもしれない。

SnapCrab_No-0942より本格的な別のテスト方法もある。Qualys の「SSL server test」は、セキュリティ暗号化構成の詳細な分析を提供し、それらのセキュリティの強度によってウェブサイトを類別する。このテストはヴァルソルダの簡易的なものより複雑だ。この方法では1分ほどかけて、証明書、暗号強度、暗号鍵の交換、プロトコル・サポートを含む複数のセキュリティー・プロトロコルをテストする。

 

4. ブラウザのアドオン・拡張機能でチェックする

ブラウザのアドオン、拡張機能でハートブリードの危険性をチェックすることができる。

Free Heartbleed-Checker Released for Firefox Browser には、Firefox と Google Chrome で使えるツールが紹介されている。

SnapCrab_No-0940 Heartbleed-Ext :: Add-ons for Firefox

The Heartbleed SSL vulnerability presents significant concerns for users and major challenges for site operators. Want to be DETECT websites that are vulnerable install this plug-in and GREEN is GOOD, RED is BAD

SnapCrab_No-0941 Chrome ウェブストア – Chromebleed

Displays a warning if the site you are browsing is affected by the Heartbleed bug

 

5. ハートブリードに関するサイトのチェックリスト

ハートブリードに関して、いくつかのサイトでリストがまとめられている。

ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11? : ギズモード・ジャパン

脆弱性があるバージョンのOpenSSLを採用しているサイトはこのリストの一番上にある45のサイト(確認した海外分だけで)。

以下のサイトでは、主要サービスについて「パスワードを変更する必要があるか」、分かりやすいく一覧表が作られているので、定期的にチェックすると良い。

SnapCrab_No-0943

 

6. その後、更に脆弱性が発見された

追記(2014/6/22): 最初のリリースから16年間存在していた問題、修正版へのアップデートを推奨:OpenSSLに再び脆弱性、MITM攻撃につながる恐れ - @IT

オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMan-in-the-Middle(MITM)攻撃によって、暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性も含まれている。…

MITM攻撃を実行するには、クライアント側とサーバー側がともに脆弱性が存在するOpenSSLを利用しており、しかもサーバーがバージョン1.0.1以降である必要がある。

ただ、「最近、Heartbleed対策でサーバー側のOpenSSLが更新された結果、攻撃可能な範囲が広がった可能性が高い」(レピダム)。同社は、MITMという攻撃の性質上、状況次第であるとしながらも、場合によっては「Heartbleedと同等か、それ以上深刻な問題となる可能性がある」と考えているという。

 

関連記事