ショップハンター

2014.04.12

Heartbleed であなたのパスワードや個人情報も危ない

テーマ：インターネットセキュリティー(34)

カテゴリ：楽天ブログ・アフィリエイト関連

楽天プロフィールのつぶやきはこちら

データが暗号化されているからといって決して安全とは言えない

　みなさんは、Web サイトにアクセスする際、http s :// で始まるリンクにお気づきになったことがあると思います。
　この http の後に付けられた s が、Web 情報を暗号化する通信プロトコルを使ってデータの送受信をするという意味になります。

　大手 Web サービスで、ユーザアカウントを使ったログインを求めるページや、ユーザの個人情報を入力する必要のあるページのほとんどが、この https プロトコルを使った通信を行っています。
　楽天サービスでも、ログインページの URL を注意深くご覧になると、https:// で始まっていることにお気づきになるでしょう。

　データを暗号化することによって、悪意を持った第三者による不正アクセスがあってもデータを解読できないように工夫が凝らされているわけです。

　Web サーバというと、単体で動作する機械のようなものを想像される方もいらっしゃるかもしれませんが、Web サーバプログラムというソフトウェアがインストールされたコンピュータを指すものですので、やろうと思えば個人のノートパソコンでも Web サーバプログラムをインストールして設定すれば、個人のパソコンを Web サーバとして全世界に公開することができます。

　Web サーバプログラムには様々な種類がありますが、その中でも大手サイトが好んで使う Web サーバプログラムに Apache があります（楽天も確か Apache だったと思います）。

　Web サーバに実装できる OpenSSL という暗号化ライブラリ群があるのですが、Apache Web サーバの半数近くに OpenSSL が実装されていると言われています。

　今回、その OpenSSL に重大なバグ（通称 Heartbleed）が見つかり、クラッカーにより攻撃を受けた Web サーバは、SSL を搭載していてもアカウント情報、パスワード情報、個人情報を含むサーバコンテンツの盗難被害に遭う危険性が指摘されています。

Web サービスを利用している方は、いますぐパスワードの変更を

　一般訪問者は、Web サービス提供側がどんな Web サーバプログラムを使っているのかを知ることはほとんどないでしょう。

　ごくまれに、Web サーバが吐き出すエラーメッセージでプログラム名とバージョンを知ることもできますが、大手の Web サーバはオリジナルのエラーページを返すようにしているところが多いため、そのサーバが安全かどうなのかを部外者が判断するのは難しいといえましょう。

　サーバが攻撃を受ける可能性を考慮すると、大切な個人情報を Web サーバに預けている以上は、どうしても各人のセキュリティ対策が必要になってきます。

　昨晩、楽天プロフィールの方でご紹介した記事の殺害予定リストに挙げられていた大手 Web サービスのなかから、特に注意が必要と感じたものを挙げてみます。

　Facebook
　Instagram
　Pinterest
　Tumblr
　Google
　Yahoo
　Gmail
　Yahoo Mail
　Amazon Web Services
　Flickr
　Netflix
　YouTube
　Dropbox
　GitHub

参考記事： The Heartbleed Hit List: The Passwords You Need to Change Right Now [外部リンク]

　すでに上記のサーバでは Heartbleed 対策が進められている可能性は高いのですが、既存のサーバデータがすでに外部に持ち出されてしまっている可能性もゼロとは言えません。

　ですから、上記のサービスをお使いの方はもちろんのこと、日本国内の Web サービスでも個人情報を登録しているものについては、今すぐにでもパスワードを変更されることを強くおすすめします。

　当方には、Pinterest からこのようなパスワードリセット要求のメールが届きました。
　Pinterest はすでに OpenSSL 対策を施したとのことですが、念のためパスワードを変更してほしいという内容になっています。