Heartbleed OpenSSLバグについて

 

注意:  以下の情報は、弊社のMac Security BlogにGraham Cluleyによって2014年４月９日に投稿された記事を翻訳したものです。

ここ数日の間に、Heartbleedと呼ばれるバグに関する報道を何かしら目にしたことでしょう。今回は、この問題に対してApple製品のユーザが持つであろう典型的な疑問に対する回答を書きたいと思います。

そもそも、Heartbleedバグとは何なのか？

Heartbleed バグは、普通なら安全なはずのインターネット通信を悪意のあるハッ カーがスパイすることができる重大な脆弱性です。広く普及しているOpenSSLソフトウェアライブラリ内のプログラムのバグが、通常ならSSL/TLS 暗号化で保護されているはずの情報の漏洩に繋がるというものです。

盗まれる可能性がある情報には、電子メールアドレスとパスワード、あるいはプ ライベートな通信など、通常「安全な経路」を使って転送されていると考えられ るものが含まれています。 なお、このバグはHearbleedと呼ばれていますが、公式な名称はCVE-2014-0160という面倒くさそうなものです。

このバグは、どれくらい前から存在するのですか？　聞いた感じだと、 かなり重大な問題みたいですが。

はい、非常に重大です。落ち着いてください。もう２年くらい前から存在してい たようです。

もう何年間も個人情報が盗まれる状態が続いていたんでしょうか？

はい、そうです。

実際に被害はあったんですか？　この方法で情報が盗まれたことはありますか？

はっきりとは分かっていません。このバグを悪用しても痕跡が残りませんので、 誰かが情報を盗んでも分からないのです。ただし、ここ数日の間に多くの人達がバグを悪用して情報を盗めることを証明しています。

脆弱性があるのは、OpenSSLのどのバージョンですか？

OpenSSL 1.0.1から1.0.1fまでに脆弱性があります。OpenSSL 1.0.1g、OpenSSL 1.0.0ブランチ、およびOpenSSL 0.9.8ブランチには脆弱性はありません。

Macを使っていても危険があるのでしょうか？　iPhoneやiPadはどうでしょう？

残念ながら、このバグはインターネット通信に使っている端末の種類を問いません。つまり、iPhone、iPad、そしてMacもWindows 8.1も、危険性は同じです。

修正されるのですか？

はい。OpenSSLの新バージョンである1.0.1gが今週公開されました。インター ネット企業は、危険なサーバおよびサービスを全速力で更新しようとしています。元々危険でないサイトもありますし、サイトによってはすでに修正が終わっ ています。

メジャーなウェブサイトにもHeartbleedバグの脆弱性があるのですか？

米国のYahooってメジャーですよね？　研究者がこのバグを利用し、米Yahooの多くのユーザのパスワードおよび電子メールアドレ スを入手してみせました。影響を受けるその他のメジャーなウェブサイトとしては、Flickr、Imgur、OKCupid、Stackoverflow、そしてEventbriteが報告され ています。

Appleがこのバグのためにパッチを公開することはありますか？

残 念ながら、これはAppleのソフトウェアやハードウェアのバグではありませ ん。このバグは、ウェブサーバおよびネットワーク対応機器がセキュアなSSL接続を確立するために使っているオープンソースソフトウェア内に存在していま す。言い換えれば、ウェブサイト自体に問題があるわけですから、お使いのコン ピュータやスマートフォン、あるいはタブレットではパッチできないのです。 なお、OS X Mavericks 10.9と一緒に出荷されているOpenSSLのバージョンには、 このバグは影響しません。

ウェブサイトにHeartbleedバグの影響があるかどうかを知ることはできますか？

多くのウェブサイトが、サーバに脆弱性があるか調べる試験を作成しています。 興味があれば、https://ssllabs.com/ssltest/、あるいはhttp://filippo.io/Heartbleed/を確認してください。

Appleのウェブサイトは安全ですか？　脆弱性の影響を受けますか？

試験によれば、Apple自身のウェブサイトはこのバグの影響を受けません。

Heartbleedについて、もっと詳しく知りたいのですが？

Codenomiconの人達によるall about the Heartbleed bugというウェブサイトを参照ください。