読者です 読者をやめる 読者になる 読者になる

OpenSSLの脆弱性はサーバー管理者だけじゃなくて一般ユーザーにも影響大

セキュリティ

昨日、Windows XPのサポート終了と時を同じくして、OpenSSLの脆弱性について報道がされました。 技術的な解説など、詳細については以下の記事を読むのが良いと思います。

2014/04/11 12:03 追記

脆弱性によってどういう状況になっているのか追記しました。本文も全体的に手直しをしています。

  • ショッピングサイトなどで注文するとき、注文者が本人かどうか確認のため、ユーザーIDやパスワードなど個人情報をサイトのサーバーと通信する
  • 通信内容が外部の人間に見られたら困るので、サーバーと注文者だけが分かるよう暗号化する
  • 暗号化にはサーバーが正当なものであると証明する証明書や、通信した内容を確認するための鍵などが必要
  • 暗号化した通信を行うための処理が多くのサーバーで使えるよう、有志によって作成されたのがOpenSSL
  • 4月8日になってOpenSSLの一部のバージョンで不具合があることがわかった
  • その不具合を悪用すると、誰でもサーバーのメモリにある情報をちょっとずつなら何回でも見れてしまう
  • メモリにはサーバーの証明書や鍵、個人情報、過去の通信内容などが含まれている可能性が高い
  • 悪意のある人間に情報が見られてしまったかどうかはサーバーの管理者にはほとんど分からない

追記ここまで

全てのサーバーがOpenSSLを使用しているわけではありませんが、サイトに登録しているクレジット情報を いったん削除するとか、パスワード変更をしたとしても、タイミング次第ではその通信によってユーザー情報が漏洩する可能性があるので、 いずれにせよ脆弱性への対応が完了するまでは手出しもしにくい状況。この脆弱性を突かれても それらしい跡が残らないというのが余計にタチの悪いところ。

とんでもなく影響の大きいことなんだと今さら実感していますが、 基本的に一般ユーザーは自分が利用してる各サービス対して、不正な通信が発生しないことと、 サーバー管理者やクレジットカード会社(カード情報が漏洩して不正利用された場合)が 早急に対応してくれることを願うしかなさそうです。

はてなも大丈夫だと思いたい。