ネットショッピングやネットバンキングなど個人情報や機密情報をやり取りするサービスの安全にかかわる「OpenSSL」の脆弱性について、セキュリティ企業や機関が注意を喚起している。情報処理推進機構(IPA)は16日、一般ユーザーのとるべき対応についてとりまとめ、公開した。
オンラインで行われるショッピングや金融取引では、一般に「SSL」方式でデータを暗号化し、情報をガードしている。このSSLをサービスに組み込むためのソフトウェア「OpenSSL」に深刻な脆弱性が発見され、問題となっている。
脆弱性が発見された OpenSSL のバージョンは「OpenSSL 1.0.1 から 1.0.1f」「OpenSSL 1.0.2-beta から 1.0.2-beta1」で、システムがこれらのバージョンを使用している場合、暗号化されるはずの通信内容が第三者に盗み見られる可能性がある。
該当バージョンを使用している事業者は対応を進めており、シマンテックの調査報告(下欄参照)によると、利用者の多いWebサイトはすでにほとんどが対応済みという。しかし、この脆弱性を狙った攻撃から被害も生じ始めているとして、IPAは一般ユーザーがとるべき対応について、次の3点を挙げ、解説している。
■一般ユーザーがとるべき対応
(1) Webサイトの対応状況を確認する
ショッピングサイトや銀行サイトなどを使う際は、ログイン前に、OpenSSLの脆弱性への対応状況を確認する。メールで連絡を受けた場合は、メールのみでは信用してはいけない。メール内のリンクではなく、ブックマークや検索エンジンからWebサイトにアクセスして確認すること。
(2) 証明書の失効確認を有効にする(ブラウザの設定)
サイト運営者は対策の一環としてWebサイトの証明書を失効することがあるが、この事実をユーザーが知らないままでいると、偽サイトにアクセスしても見分けられない恐れがある。ブラウザの設定を確かめる方法については、トレンドマイクロが公式ブログ(下欄参照)で案内している。
・Internet Explorer:ツール>インターネットオプション>詳細設定>セキュリティ>「サーバーの証明書失効を確認する」にチェックが入っていることを確認する。
・Chrome:設定>詳細設定を表示…>HTTPS/SSL>「サーバー証明書の取り消しを確認する」にチェックが入っていることを確認する。(Chrome の現在のバージョンのデフォルトではチェックが入っていない。確認し、チェックを入れておこう)
(3) Webサイト運営者からの指示に従う
運営者からユーザーに指示される可能性がある対応としては、「パスワードの変更」がある。パスワード変更は、Webサイト側の脆弱性対応が完了したことを確認してから行う。Webサイト側に脆弱性が残ったままパスワードを変更しても、変更後のパスワードを盗まれる可能性が残るので、注意が必要だ。
(2014/04/17 ネットセキュリティニュース)
【関連URL】
・OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html
・OpenSSL の脆弱性対策について(CVE-2014-0160)(IPA)
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
・OpenSSL の脆弱性に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2014/at140013.html
・OpenSSLの脆弱性について:国民のための情報セキュリティサイト(総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/vulnerability/01-openssl.html
・OpenSSL の HeartBleed脆弱性に対し、我々が注意すべきこととは?(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/8964
・Heartbleed - 調査報告(シマンテック)
http://www.symantec.com/connect/ja/blogs/heartbleed-0
・「Heartbleed」- OpenSSLの脆弱(ぜいじゃく)性(CVE-2014-0160)についてのお知らせ(マカフィー)
http://www.mcafee.com/japan/announcement/heartbleed.asp