今月初め、世界の主要メディアがインターネット史上最大のセキュリティ脆弱性「Heartbleed(ハートブリード)」を暴露し、しばらくの間、主要ネットワーク企業のシステム管理者は自社のシステムにパッチを当て始めました。このセキュリティの脆弱性は、暗号化された情報を解読し、ユーザーの個人データを盗むためにハッカーによって悪用される可能性が高いです。
しかし、多くの小規模で非主流のインターネット企業にとっては、「Heartbleed」を前にしても、何の対策も講じなかったり、消極的な対応に終始したりする可能性があります。つまり、Heartbleedは何年にもわたってインターネットのセキュリティを脅かし続け、その後遺症はいつまでも残る可能性があるのです。
Googleとオンライン・セキュリティ企業Codenomiconの研究者によって発見された「Heartbleed」脆弱性は、主要なウェブ暗号化技術であるOpenSSLに影響を与えるオープンソースのウェブデータ暗号化ツールOpenSLLに含まれる約10行の単純なコードです。実際、このセキュリティホールは2年以上前から存在していましたが、疑われる兆候はなく、ハッカーはこのホールを使ってユーザーの暗号化された情報に簡単にアクセスしていました。
具体的には、ウェブサイトがOpenSLL暗号を使用している場合、ハッカーはHeartbleedを使用して、ソフトウェアが実行されているサーバーから機密情報にアクセスすることができます。さらに、ハッカーはウェブサイトからユーザーの個人情報を盗むだけでなく、偽のウェブサイトを作成してサーバーからユーザー名、パスワード、クレジットカード情報などを「漁る」こともできます。
さらに悪いことに、ハッカーが「Heartbleed」の脆弱性を悪用した場合、その不正行為を検知することは非常に困難です。言い換えれば、ウェブサイトがHeartbleedによって侵害されたかどうかを見分ける効果的な方法はありません。そのため、ウェブサイトは手遅れになる前に、できるだけ早くOpenSSLのバージョンをアップグレードしています。
とはいえ、現在では3分の2以上のウェブサイトがOpenSSL暗号化プロトコルを使用しているため、こうした潜在的に危険なサイトの多くは、そもそも脆弱性を確実に修正する能力を持たない小規模なサイトであり、中には見て見ぬふりをするサイトさえあるかもしれません。
「オンライン・プライバシー保護会社Abineの最高技術責任者であるAndrew Sudbury氏は、「世界中のあらゆる場所のサーバールームに無数のサーバーが設置されており、その1つ1つにHeartbleedセキュリティ脆弱性を防ぐパッチが適用されることを保証するのは困難です。
システム管理者が行う必要があるのは、適切なソフトウェアパッケージをアップグレードし、システムを再起動し、OpenSSLキーとセキュリティ証明書を交換するだけです。「それほど複雑ではなく、少し時間がかかるだけです。
1990年代、ハッカーはいわゆる「PHFエクスプロイト」を使ってウェブサーバーを攻撃していました。しかし、この脆弱性が発見され修正された後も、このエクスプロイトを利用した攻撃は毎年発生しています。
さらにアンドリュース氏は、近年サイバーセキュリティの主要な脆弱性のいくつかが発見され修正された後も、ハッカーがそれを悪用したサイバー攻撃を続けてきたという歴史があると述べています。「ハートブリードも例外ではありません。
クレジットカードやユーザー名などの機密情報が含まれていないサイトからユーザーの情報が盗まれたとしても、特に様々なオンライン操作で同じパスワードを使用することを好むユーザーにとっては、この脆弱なリンク1つで簡単に深刻な被害を引き起こす可能性があります。
Heartbleedの攻撃パターンは検出が困難ですが、だからといって、ユーザーが黙って攻撃を待つ必要はありません。ウェブサイトをアップグレードする必要があるかどうかをチェックするツールもありますし、ChromeやFirefoxのようなサードパーティのブラウザの中には、攻撃を受けないようにランダムな自己チェックを実行できる拡張機能を提供しているものもあります。
また、サーバーの暗号化キーを二重に設定し、可能な限りすべてのパスワード設定を更新し、再利用しないことで、攻撃を回避することができます。
とはいえ、この脆弱性が完全に排除されるまで待ったとしても、ここでどれだけの情報が失われたかを知る術はありません。Heartbleedの余波は今後何年も続くでしょう。
