4月9日、東京(新華社) -- OpenSSLに「Heartbleed(ハートブリード)」と呼ばれる脆弱性が発見されました。この脆弱性を利用すると、攻撃者はユーザーのパスワードを入手したり、ユーザーを騙してフィッシングサイトにアクセスさせたりすることが可能。現在業界では、この脆弱性を利用してYahoo!
OpenSSLは、オンライン通信を暗号化するために広く使用されているオープンソースソフトウェアです。HeartBeatの脆弱性は、ユーザー名、パスワード、クレジットカード番号のようなプライベートデータのような、最も機密性の高いデータを含むサーバーのメモリの内容を開示することができます。さらに、攻撃者はサーバーのデジタルキーのコピーを入手して、それらのサーバーを模倣したり、サーバーを介したユーザー通信を解読したりすることができます。
この情報セキュリティの脆弱性は特に深刻です。この脆弱性を修正したい場合、ウェブサイトは大幅な調整を余儀なくされ、さらにOpenSSLを使用しているユーザーは、パスワードを盗まれた可能性があるため、パスワードを変更しなければなりません。より多くの人々がオンライン・サービスに依存し、複数のウェブサイトで同じパスワードを再利用しているため、これは大きな問題となります。
情報セキュリティー会社Fox-ITのロナルド・プリンスは、Twitterを通じて、"HeartbleedエクスプロイトによってYahooのユーザー名とパスワードを入手した "と述べています。また、別の開発者であるScott Galloway氏は、"Heartbleedスクリプトを5分間実行し、Yahooメールのユーザー名とパスワードを200件入手した "と述べています。
ヤフーは月曜日遅く、主要サイトの脆弱性を修正したと発表しました。この脆弱性は現在、Yahoo Home、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr、Tumblrで修正されており、Yahooは他のサイトについても作業中とのこと。しかしYahooは、ユーザーがどのような措置を取るべきか、また脆弱性がどのような影響を与えたかについては伝えていません。
暗号の専門家であるフィリップ・バルソーダは、ウェブサイト上のHeartbleed脆弱性をチェックするためのツールを公開しました。このツールは、グーグル、マイクロソフト、ツイッター、フェイスブック、ドロップボックス、その他様々なウェブサイトにこの問題がないことを示しました。このテストでは、Imgur、OKCupid、Eventbriteなどのサイトにも問題がありました。
この脆弱性の正式名称は「CVE-2014-0160」で、OpenSSLのベータバージョン1.0.1および1.0.2に影響します。OpenSSLはこの問題を修正したバージョン1.0.1gをリリースしていますが、サイトがソフトウェアをアップグレードするには時間がかかります。ただし、サイトが「完全な前方秘匿」と呼ばれる機能で構成されている場合、この脆弱性の影響は大幅に軽減されます。この機能はセキュリティキーを変更し、攻撃者が特定のキーを取得しても、過去および将来の暗号化データを復号化できないようにするものです。
