最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆「OpenSSL」脆弱性について、一般ユーザーがとるべき対応について(IPA)(2014/04/17) | メイン | ◆都の「若者のトラブル110番」~2割が有料サイトの架空・不当請求(2014/04/22) »

2014/04/21

◆OpenSSLの脆弱性を突いた被害発生、一般ユーザーがとるべき3つの対策(2014/04/21)

 オープンソースの暗号通信ソフト「OpenSSL」に深刻な脆弱性が見つかった問題で、国内で被害が発生したことが明らかになった。クレジットカード会社大手の三菱UFJニコスが18日、Webサービスへの不正アクセスにより、顧客894名の登録情報が不正に閲覧されたと発表した。

 同社によると、不正に閲覧されたのはWeb会員のうち894名分のカード番号(一部非表示)、氏名、生年月日、住所、電話番号、メールアドレス、有効期限、WebサービスID、カード名称、入会年月日、利用代金支払口座(金融機関名・支店名)、勤務先名、勤務先電話番号。カードの暗証番号とWebサービスログインパスワードは閲覧されていない。

 カード番号の一部が非表示のため、不正使用の可能性は極めて低いという。カードの不正使用や情報悪用の被害は確認されていない。該当の顧客にはすでにメール、手紙、電話で連絡し、謝罪している。

 同社が不正アクセスを検知したのは11日午前6時33分。Webサービスを停止し、OpenSSLのバージョンアップを図るなどして安全体制を確保して、12日午前7時48分にサービスを再開した。

■カナダ歳入庁も被害に

 同脆弱性をめぐっては、カナダ歳入庁(Canada Revenue Agency)が現地時間14日、納税者約900名分の社会保険番号が抜き取られていたことを公表。同16日、カナダ連邦警察(Royal Canadian Mounted Police)が容疑者を逮捕したと発表している。

 警察庁が10日に公開した情報によると、OpenSSLの脆弱性が明らかにされたのは4月6日。8日に脆弱性の有無を確認することが可能な攻撃コードが公開され、9日以降、この脆弱性を標的としたアクセスの増加が観測されている。NHKと毎日新聞の19日の報道によると、三菱UFJニコスの不正アクセスも9日から始まっていたという。

■一般ユーザーがとるべき3つの対策

 国内で被害が確認されたことにより、自分のデータも流出して悪用されるのではないかと心配になった方もいるだろう。一般ユーザーのとるべき対策についてはIPAが16日に情報を公開している。

(1)Webサイトの対応状況を確認する
 ショッピングサイトや銀行サイトなど、重要な取引をするWebサイトを使う際には、ログインする前にOpenSSLの脆弱性への対応状況を確認する。「お知らせ」などのアナウンスを探してみるとよい。見つからない場合はメールや電話で確認する。

(2)証明書の失効確認を有効にする(Webブラウザの設定)
 脆弱性が存在する状態でSSL証明書を外部に公開していた場合は、秘密鍵が漏えいしている可能性があるため、Webサイトの管理者は使用している証明書を失効させ、再発行するよう推奨されている。Webブラウザで失効確認が無効になっていると、失効した証明書を悪用する偽サイトにアクセスしてもこれを見分けられない可能性がある。
 Google Chromeでは、初期設定で失効確認が無効となっている。[設定]→下部の[詳細設定を表示…]→[HTTPS/SSL]の「サーバー証明書の取り消しを確認する」にチェックを入れると有効になる。利用者が多いブラウザの最新版では、Google Chromeを除き、既定で失効確認が有効となっている。

(3)ウェブサイト運営者からの指示に従う
 運営者から指示される可能性がある対応としては、「パスワードの変更」がある。パスワード変更は、Webサイト側の脆弱性対応が完了したことを確認してから行う。Webサイト側に脆弱性が残ったままパスワードを変更しても、変更後のパスワードを盗まれる可能性が残ってしまうため。

 また、今回の件に便乗して「提供しているサービス/サイトがOpenSSLの脆弱性の影響を受けていたことが分かった。パスワードの変更が必要だ」などという偽の案内メールを送りつけ、偽サイトに誘導してID/パスワードを盗み取ろうとする攻撃が行われる可能性もある。このようなメールが届いたときは、必ずそのサービス/サイトに行って、そのような事実があるのかどうかを確認していただきたい。

(2014/04/21 ネットセキュリティニュース)

【関連URL】
・弊社会員専用WEBサービスへの不正アクセスにより一部のお客様情報が不正閲覧された件[PDF](三菱UFJニコス)
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf
・OpenSSL の脆弱性を標的としたアクセスの増加について[PDF](警察庁)
http://www.npa.go.jp/cyberpolice/detect/pdf/20140410.pdf
・OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html
・Statement by the Commissioner of the Canada Revenue Agency on the Heartbleed bug[英文](Canada Revenue Agency)
http://www.cra-arc.gc.ca/gncy/sttmnt2-eng.html
・Heartbleed Bug Hacker Charged by RCMP[英文](Royal Canadian Mounted Police)
http://www.rcmp-grc.gc.ca/ottawa/ne-no/pr-cp/2014/0416-heartbleed-eng.htm

【関連記事:ネットセキュリティニュース】
・「OpenSSL」脆弱性について、一般ユーザーがとるべき対応について(IPA)(2014/04/17)

投稿情報: 10:01 |

|