インターネットを安全に使うために ~Heart Bleedの事例から学ぶ~ 池内 正晴

1.最近のコンピュータのセキュリティに関する報道

 Windows XPのサポート終了以降、テレビのニュースなどでコンピュータのセキ
ュリティに関するニュースを見る機会が多くなっている。Internet Explorerの
脆弱性によってパソコンが外部から乗っ取られる恐れがあるので利用を停止すべ
きというニュースが大きく取り上げられていたことも記憶に新しいであろう。
 最近、ニュースでコンピュータのセキュリティに関するニュースが増加してい
るので、セキュリティに関する問題が最近急増しているという印象を持たれる方
が多いと思うが、マスコミの特性として、その時期に話題になっていることを中
心に報道をするという傾向が否めないため、その流行りとして多く取り上げられ
ているように感じられる。言い換えれば、実際は日常的にセキュリティ問題が発
生しているにもかかわらず、マスコミに大きく取り上げられていないケースも多
くあるのである。


2.Heart Bleedとは

 Windows XPサポート終了やInternet Explorerの脆弱性が世間をにぎわせてい
る時期と同時期に、Heart Bleedと呼ばれているOpenSSLの脆弱性という重大な
問題が発覚している。この件は、コンピュータ関係専門ニュース以外の一般のニ
ュースとしてはあまり大きく取り上げられてなかったのではなかろうか。
 このOpenSSLとはパソコンなどのクライアント側でなく、インターネットを通
じて接続する相手先となるサーバ側で使用されるソフトウェアであり、サーバと
クライアント間の通信を暗号化するため等に利用されているものである。
  前述のInternet Explorerの脆弱性の場合は、パソコン側で使用されるソフト
ウェアであるため、パソコン利用者が修正プログラムの適用などの対策が必要で
あったが、OpenSSLは、サーバ側で使用されるプログラムであり、サーバの管理
者が修正プログラムの適用を行うことにより脆弱性の対処が行われる。したがっ
て、一般のパソコン利用者としては、何も対応する必要は無いように思える。
 しかし、OpenSSLの場合は少し特殊な事情がある。今回の脆弱性による影響は、
パソコンなどのクライアントとサーバ間で送信された内容が盗み見られている可
能性があることと、皆さんが個人情報等をやり取りしている可能性があるサーバ
の多くで、このソフトが使用されていることである。さらに、悪い条件として、
通信の内容を盗み見られていたとしても、その痕跡が残らない可能性が高いので
ある。


3.Heart Bleedの危険性

 このHeart Bleedと呼ばれる脆弱性によって、皆さんが普段利用しているイン
ターネットのサービスでサーバに送信したデータの内容を盗み見られている可能
性がある。このデータには、もちろんログインの時に使用されるIDやパスワード
も含まれている。この影響を受けている可能性があるインターネットサービスは、
公表されているものだけでも、GoogleやYouTube、Facebook、Dropboxなどをは
じめとする、たくさんの人が使っているサイトが多くある。ただし、今回の脆弱
性を使用して情報を盗み取ろうとした場合でも、ログインに使用されるIDやパス
ワードを直接狙って取得することは難しく、実際には、大量の通信された内容を
盗み出し、解析した場合に、ログインIDやパスワードがその中に含まれている可
能性があるという状況であるので、多くの利用者のパスワード等が奪われている
という可能性は低い。そのため、Googleをはじめとするサービス事業者は、ログ
インの一時停止や、パスワードの変更を指示するという対応は行っておらず、パ
スワードの変更をお勧めするといったアナウンスを行っている。
 ログインIDとパスワードが第三者によって奪われたという確信はないが、奪わ
れていないという保証もないという状況であるから、サービス事業者からのアナ
ウンスも、このようにあいまいになってしまっているのであろう。結局、利用者
自身が判断して、それぞれの責任で対応することが求められているのである。


4.パスワードの安全性

 パスワードは、頻度は少ないかもしれないが、利用者が知らないうちに第三者
に漏えいしている可能性があるという認識でいるべきである。今回のHeart Bleed
の場合については、パスワード等が漏えいの可能性があると知ることができた。
しかし、今回のケースに限らず、利用者がその事実を知ることもなしに、パスワ
ード等が漏えいしている可能性はあると認識しておくべきである。
 同じパスワードを長期間使い続けていると、そのパスワードが第三者に漏えい
している可能性が高くなっていく。そのため、パスワードを時々変更するという
ことが大切なのである。また、複数のサイトで同じパスワードを使いまわすこと
も避けるべきである。今回のHeart Bleedに限らず、システムの脆弱性等を利用
して入手したIDとパスワードの組み合わせを、悪意を持った者が色々なサイトで
入力し、不正なログインを行っているという事件も数多く発生している。


5.インターネットバンキングで被害に遭った場合は

 インターネットを利用した様々なサービスのうち、不正に利用された際の被害
が大きいものとして、不正送金などで直接的な金銭被害にあう可能性があるイン
ターネットバンキングがある。何らかの原因で皆さんが被害に遭った場合はどう
なるのであろうか。
 全銀協の申し合わせの内容では、個人が利用するインターネットバンキングの
場合、被害が発生した際、速やか(30日以内)に金融機関へ連絡し十分な説明を
行うとともに、捜査当局への被害事実等の事情説明を確実に行うこと等を前提と
して、利用者に過失がない場合は、被害金額が全額保証される。万一被害者に過
失がある場合でも、重大な過失がない限り、一部減額の可能性はあるものの、補
償はされることになっている。ただし、具体的にどのような行為が重大な過失に
あたるかは明記されていないため、万一の場合に備えて、普段からパスワード等
の取り扱いについては慎重になっておくべきである。
 なお、被害に遭ったのが法人の場合は、この内容が適用されず、銀行側に過失
がない限り補償されることはない等、対応が異なる場合があるので、注意が必要
である。

------------------------------------------------------------------------
■執筆者プロフィール

池内 正晴 (Masaharu Ikeuchi)

学校法人聖パウロ学園
    光泉中学・高等学校
ITコーディネータ

公式Facebookページはこちらから

<いいね>をクリック!