Heartbleed

4月7日に明らかになった、OpenSSLの脆弱性によるHeartbleed問題。10日以上経過して、三菱UFJニコスカードがOpenSSLバグによる不正アクセス被害を公表しました。

私が電話で問い合わせをした際には、「現在は問題ありませんとしかお伝えできない」と言われていました。うかつに回答することができなかったのでしょう。

Heartbleed問題とは?

Webサービスを利用する際に、「https://〜」で始まる、「鍵」のマークのついた、暗号化されたページを利用するかと思いますが、この暗号化通信技術のひとつ「OpenSSL」の一部のバージョンに脆弱性、つまり安全上の「穴」が2年前から開いていたことが、この4月7日に公表されました。

OpenSSLを使っているWebサイト管理者は、出来るだけ早くそのバージョンを確認し、影響を受けるバージョン(1.0.1〜1.0.1f)の場合には修正された最新バージョン(1.0.1g)のソフトウェアにアップデートするか、「heartbeat」拡張機能オプションを利用しないなど、対処しなくてはなりません。また、SSLサーバ証明書の再発行の必要もあるでしょう。

利用者が今すべきことは?

残念ながら、利用者にできることはあまりありません。異常がないかを常に確認するのみとなります。


①自分の利用しているWebサービスが、OpenSSLバグ問題に該当していないか確認する
②OpenSSLバグ問題について修正済みであれば、パスワードを変更する。
③未対応または不明なWebサービスについては何もしない。利用しない。修正前にパスワードを変更すると、逆に悪用される可能性も。
④銀行やクレジットカードの残高や利用履歴に注意する。
⑤パスワード変更やアカウントリセットのメールが突然きても、リンクをクリックしない。公式サイトの問い合わせフォームか電話で問い合わせること。

「OpenSSLバグの問題があるのか、ないのか」について、電話やメールであちこち問い合わせてみましたが、4月15日の段階では、ほとんどの銀行窓口・コールセンターがこの問題を把握しておらず、一様に「?」という反応でした。

クレジットカード会社においては、問い合わせて回答を得るだけでもひと苦労です。なかなか教えてくれません。ようやく返ってきた回答も、「現在は復旧しています」とだけ。肝心の、「OpenSSLバグがあったのか、なかったのか」については言及してもらえなかったカード会社も…(そのひとつが三菱UFJニコス社でしたが)

ホームページに「問題があったのか、なかったのか、修正したのか」を掲げてくれているWebサービス事業者は、今のところ見かけません。ですので、利用者が自分で自分の財産・情報を守ることを心がけるしかないかもしれません。

参考までに、分かる範囲で、今回のOpenSSLバグ対応状況を掲載しておきますので、必要に応じてご利用ください。ここに載っていない場合は、Webサービス提供者に直接問い合わせることをおすすめします。

 

OpenSSL脆弱性バグ確認ツール

COMODO SSL Analyzer

URL: https://sslanalyzer.comodoca.com/

URLを入力して、「Heartbeat」欄にに出力されるデータを確認してください。

<脆弱性のあるバージョンで修正パッチが適用されていない場合>
Vulnerable to Hearbleed attack INSECURE
=危険

<脆弱性のないバージョンの場合>
Heartbeat Not Supported Immune to Heartbleed attack
=問題なし

<脆弱性のあるバージョンで修正パッチを適用済みの場合>

Heartbeat Supported Immune to Heartbleed attack
=パスワード変更推奨

 

Qualys SSL Labs – Projects / SSL Server Test

URL: https://www.ssllabs.com/ssltest/analyze.html

Domain name欄に、調べたいWebサイトのドメインを入力し、「Submit」をクリックします。2〜3分ほどかかりますが、Heartbleed以外についてもかなり詳細にしらべることができます。

Qualys SSL Labs - Projects / SSL Server Test

しかし、大手銀行のWebページが「F」ランクとかなり悪い結果が出たのには不安です。Heartbleed以外の脆弱性を抱えている可能性がありそうです。
 

更新情報

2014.4.21 AdobeのOpenSSL使用状況を追加しました。[参考記事] URL:http://www.itmedia.co.jp/enterprise/articles/1404/21/news030.html
2014.4.21 銀行各社のOpenSSL使用状況について修正しました。
2014.4.23 常陽銀行・さくらインターネット・Eストアーショップサーブ・おおさかパルコープeフレンズ・イオンネットスーパーのOpenSSL使用状況を追加しました。
2014.4.23 OpenSSL脆弱性バグ確認ツールにQualys SSL Labsを追加しました。

 

事業者名 OpenSSLがどうか 影響を受けたかどうか 修正済みか否か パスワード変更推奨
みずほ銀行 128bitSSL
OpenSSLは使っていない
なし
SMBC三井住友銀行 128bitSSL
OpenSSL ただし別バージョン
なし
三菱東京UFJ銀行 128bitSSL
問題のOpenSSLは使っていない
なし
りそな銀行 EVSSL
統一して「EVSSL」との回答のため、OpenSSLの使用・不使用は確認できず
なし
ゆうちょ銀行 OpenSSL ただし別バージョン なし
楽天銀行 128bitSSL
脆弱性のあるOpenSSLは使っていない
なし
常陽銀行 OpenSSLの脆弱性に該当するバージョンは使用していない なし
イオンカード OpenSSLは使っていない なし
JCBカード OpenSSL ただし別バージョン なし
三井住友VISAカード 回答不可 「弊社サイトは安全性に問題がないことを確認済」とのコメント 不明 したほうがいいかも
三菱UFJニコスカード OpenSSL あり 修正済み 推奨
PayPal 不明 なし
Google OpenSSL あり 修正済み 推奨
Gmail OpenSSL あり 修正済み 推奨
YouTube OpenSSL あり 修正済み 推奨
Facebook OpenSSL あり 修正済み 推奨
Instagram OpenSSL あり 修正済み 推奨
Tumblr OpenSSL あり 修正済み 推奨
Pinterest OpenSSL あり 修正済み 推奨
Yahoo.com OpenSSL あり 修正済み 推奨
Dropbox OpenSSL あり 修正済み 推奨
Flickr OpenSSL あり 修正済み 推奨
IFTTT OpenSSL あり 修正済み 推奨
Adobe OpenSSL あり 修正済み 推奨
Apple 不明 なし
Microsoft 不明 なし
Amazon 不明 なし
Linkedin 不明 なし
Twitter 不明 なし
MSN 不明 なし
さくらインターネット OpenSSL ただし別バージョン なし
Eストアーショップサーブ OpenSSL ただし別バージョン なし
おおさかパルコープeフレンズ チェッカーで検証 Heartbleedの脆弱性なし なし
イオンネットスーパー チェッカーで検証 Heartbleedの脆弱性なし なし

 

[参考リンク]
OpenSSLの脆弱性「Heartbleed」: 今すぐ対策を!
「OpenSSL」に深刻な脆弱性「Heartbleed」が発覚、拡張機能「Heartbeat」に存在
ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法