リスクマネジメント リスクマネジメント記事一覧へ

[エキスパート・ボイス]

【提言】Heartbleedが求める緊急対応、文字パスワードを賢く使うために

2014年5月27日(火)鵜野 幸一郎(日本セキュアテック研究所・代表)

パスワードを流出させる大型サイバー犯罪が続発し、社会を揺るがせています。特に、オープンソースの暗号通信ライブラリ「OpenSSL」の脆弱性を突いた「Heartbleed(心臓出血)」と呼ばれるサイバー攻撃は極めて深刻なものでした。こうした事件が起こると、ネットの利用者はパスワード変更を要求されます。しかし、多くのID/パスワードを所有・運用しなければならない利用者にすれば、パスワード変更は決して容易なことではありません。パスワードの脆弱性と、その対策について論究してきた筆者が、利用者視点から早急に打つべき対策を提言します。

図1:OpenSSLの脆弱性への警鐘を鳴らすためのHeartbleedのロゴ図1:OpenSSLの脆弱性への警鐘を鳴らすためのHeartbleedのロゴ

 オープンソースの暗号通信ライブラリ「OpenSSL」は、世界のSSL利用サイトの6割以上で使用されているといわれています。Heartbleedについては、50万サイトが影響を受けたという情報もあります(図1)。米国ではホワイトハウスが甚大な被害を蒙ったことも判ってきたようです。

 Heartbleed で、ID/パスワードが流出したのは、サイトからだけではなく、クライアントやIoT(Internet of Things:モノのインターネット)までが含まれている可能性が指摘されています。流出の可能性があるパスワードやユーザーの総数は、一体どの程度になるのか想像もつきません(図2)。

図2:本人認証を破られると、種々の分厚い防御のいずれも意味がない図2:本人認証を破られると、種々の分厚い防御のいずれも意味がない
拡大画像表示

 例えば、三菱UFJニコスは2014年4月18日、OpenSSLの脆弱性を突いた攻撃による不正アクセスで、延べ894人の個人情報が不正に閲覧されたと発表しました。具体的には、カード番号や、氏名、住所、生年月日、電話番号、メールアドレス、有効期限、WebサービスのID、カード名称、加入年月、支払口座(金融機関名及び支店名を含む)、勤務先名称とその電話番号です。

 この脆弱性は、2年前から存在していたことが確認されていました。このような大きな欠陥がなぜ長期間放置されていたのか、根本的な解決策は何かといった分析はさておき、脆弱性を突いた攻撃は痕跡が残りません。サイトの運営者は、もし脆弱なバージョンのOpenSSLを運用していたのなら、アップグレードや証明書の再発行といった対策を講じた後、利用者にパスワードの変更を依頼しなければなりません。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】注目高まる日本発の「暗証画像カード」
  • 1
  • 2
バックナンバー
エキスパート・ボイス一覧へ
関連キーワード

OpenSSL

関連記事

【提言】Heartbleedが求める緊急対応、文字パスワードを賢く使うためにパスワードを流出させる大型サイバー犯罪が続発し、社会を揺るがせています。特に、オープンソースの暗号通信ライブラリ「OpenSSL」の脆弱性を突いた「Heartbleed(心臓出血)」と呼ばれるサイバー攻撃は極めて深刻なものでした。こうした事件が起こると、ネットの利用者はパスワード変更を要求されます。しかし、多くのID/パスワードを所有・運用しなければならない利用者にすれば、パスワード変更は決して容易なことではありません。パスワードの脆弱性と、その対策について論究してきた筆者が、利用者視点から早急に打つべき対策を提言します。

PAGE TOP