4月7日に明らかになった、OpenSSLの脆弱性によるHeartbleed問題。10日以上経過して、三菱UFJニコスカードがOpenSSLバグによる不正アクセス被害を公表しました。
私が電話で問い合わせをした際には、「現在は問題ありませんとしかお伝えできない」と言われていました。うかつに回答することができなかったのでしょう。
Heartbleed問題とは?
Webサービスを利用する際に、「https://〜」で始まる、「鍵」のマークのついた、暗号化されたページを利用するかと思いますが、この暗号化通信技術のひとつ「OpenSSL」の一部のバージョンに脆弱性、つまり安全上の「穴」が2年前から開いていたことが、この4月7日に公表されました。
OpenSSLを使っているWebサイト管理者は、出来るだけ早くそのバージョンを確認し、影響を受けるバージョン(1.0.1〜1.0.1f)の場合には修正された最新バージョン(1.0.1g)のソフトウェアにアップデートするか、「heartbeat」拡張機能オプションを利用しないなど、対処しなくてはなりません。また、SSLサーバ証明書の再発行の必要もあるでしょう。
利用者が今すべきことは?
残念ながら、利用者にできることはあまりありません。異常がないかを常に確認するのみとなります。
①自分の利用しているWebサービスが、OpenSSLバグ問題に該当していないか確認する
②OpenSSLバグ問題について修正済みであれば、パスワードを変更する。
③未対応または不明なWebサービスについては何もしない。利用しない。修正前にパスワードを変更すると、逆に悪用される可能性も。
④銀行やクレジットカードの残高や利用履歴に注意する。
⑤パスワード変更やアカウントリセットのメールが突然きても、リンクをクリックしない。公式サイトの問い合わせフォームか電話で問い合わせること。
「OpenSSLバグの問題があるのか、ないのか」について、電話やメールであちこち問い合わせてみましたが、4月15日の段階では、ほとんどの銀行窓口・コールセンターがこの問題を把握しておらず、一様に「?」という反応でした。
クレジットカード会社においては、問い合わせて回答を得るだけでもひと苦労です。なかなか教えてくれません。ようやく返ってきた回答も、「現在は復旧しています」とだけ。肝心の、「OpenSSLバグがあったのか、なかったのか」については言及してもらえなかったカード会社も…(そのひとつが三菱UFJニコス社でしたが)
ホームページに「問題があったのか、なかったのか、修正したのか」を掲げてくれているWebサービス事業者は、今のところ見かけません。ですので、利用者が自分で自分の財産・情報を守ることを心がけるしかないかもしれません。
参考までに、分かる範囲で、今回のOpenSSLバグ対応状況を掲載しておきますので、必要に応じてご利用ください。ここに載っていない場合は、Webサービス提供者に直接問い合わせることをおすすめします。
OpenSSL脆弱性バグ確認ツール
COMODO SSL Analyzer
URL: https://sslanalyzer.comodoca.com/
URLを入力して、「Heartbeat」欄にに出力されるデータを確認してください。
<脆弱性のあるバージョンで修正パッチが適用されていない場合>
Vulnerable to Hearbleed attack INSECURE
=危険<脆弱性のないバージョンの場合>
Heartbeat Not Supported Immune to Heartbleed attack
=問題なし<脆弱性のあるバージョンで修正パッチを適用済みの場合>
Heartbeat Supported Immune to Heartbleed attack
=パスワード変更推奨
Qualys SSL Labs – Projects / SSL Server Test
URL: https://www.ssllabs.com/ssltest/analyze.html
Domain name欄に、調べたいWebサイトのドメインを入力し、「Submit」をクリックします。2〜3分ほどかかりますが、Heartbleed以外についてもかなり詳細にしらべることができます。
しかし、大手銀行のWebページが「F」ランクとかなり悪い結果が出たのには不安です。Heartbleed以外の脆弱性を抱えている可能性がありそうです。
更新情報
2014.4.21 AdobeのOpenSSL使用状況を追加しました。[参考記事] URL:http://www.itmedia.co.jp/enterprise/articles/1404/21/news030.html
2014.4.21 銀行各社のOpenSSL使用状況について修正しました。
2014.4.23 常陽銀行・さくらインターネット・Eストアーショップサーブ・おおさかパルコープeフレンズ・イオンネットスーパーのOpenSSL使用状況を追加しました。
2014.4.23 OpenSSL脆弱性バグ確認ツールにQualys SSL Labsを追加しました。
| 事業者名 | OpenSSLがどうか | 影響を受けたかどうか | 修正済みか否か | パスワード変更推奨 |
| みずほ銀行 | OpenSSLは使っていない |
なし | ||
| SMBC三井住友銀行 | OpenSSL ただし別バージョン |
なし | ||
| 三菱東京UFJ銀行 | 問題のOpenSSLは使っていない |
なし | ||
| りそな銀行 | 統一して「EVSSL」との回答のため、OpenSSLの使用・不使用は確認できず |
なし | ||
| ゆうちょ銀行 | OpenSSL ただし別バージョン | なし | ||
| 楽天銀行 | 脆弱性のあるOpenSSLは使っていない |
なし | ||
| 常陽銀行 | OpenSSLの脆弱性に該当するバージョンは使用していない | なし | ||
| イオンカード | OpenSSLは使っていない | なし | ||
| JCBカード | OpenSSL ただし別バージョン | なし | ||
| 三井住友VISAカード | 回答不可 | 「弊社サイトは安全性に問題がないことを確認済」とのコメント | 不明 | したほうがいいかも |
| 三菱UFJニコスカード | OpenSSL | あり | 修正済み | 推奨 |
| PayPal | 不明 | なし | ||
| OpenSSL | あり | 修正済み | 推奨 | |
| Gmail | OpenSSL | あり | 修正済み | 推奨 |
| YouTube | OpenSSL | あり | 修正済み | 推奨 |
| OpenSSL | あり | 修正済み | 推奨 | |
| OpenSSL | あり | 修正済み | 推奨 | |
| Tumblr | OpenSSL | あり | 修正済み | 推奨 |
| OpenSSL | あり | 修正済み | 推奨 | |
| Yahoo.com | OpenSSL | あり | 修正済み | 推奨 |
| Dropbox | OpenSSL | あり | 修正済み | 推奨 |
| Flickr | OpenSSL | あり | 修正済み | 推奨 |
| IFTTT | OpenSSL | あり | 修正済み | 推奨 |
| Adobe | OpenSSL | あり | 修正済み | 推奨 |
| Apple | 不明 | なし | ||
| Microsoft | 不明 | なし | ||
| Amazon | 不明 | なし | ||
| 不明 | なし | |||
| 不明 | なし | |||
| MSN | 不明 | なし | ||
| さくらインターネット | OpenSSL ただし別バージョン | なし | ||
| Eストアーショップサーブ | OpenSSL ただし別バージョン | なし | ||
| おおさかパルコープeフレンズ | チェッカーで検証 Heartbleedの脆弱性なし | なし | ||
| イオンネットスーパー | チェッカーで検証 Heartbleedの脆弱性なし | なし |
[参考リンク]
OpenSSLの脆弱性「Heartbleed」: 今すぐ対策を!
「OpenSSL」に深刻な脆弱性「Heartbleed」が発覚、拡張機能「Heartbeat」に存在
ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法
どこの銀行も示し合わせたかのように口を閉ざしています・・・と思ったら、
茨城の地銀、常陽銀行が勇敢にもお知らせを載せてました!
http://www.joyobank.co.jp/oshirase/20140416.html
すばらしい\(^o^)/
「該当するバージョンは使用しておりませんので」と書かれているあたりが大変理解しやすいですよね。
わかりづらいインターネットセキュリティの問題ですので、どこの銀行さんも「どうアナウンスしたら良いのかわからない」のでしょうけれども…
ひとの財産を扱う仕事ですから、そういうことに詳しい専門家が、各行についていて欲しいところです。