1.最近のコンピュータのセキュリティに関する報道
Windows XPのサポート終了以降、テレビのニュースなどでコンピュータのセキュリティに関するニュースを見る機会が多くなっている。Internet Explorerの脆弱性によってパソコンが外部から乗っ取られる恐れがあるので利用を停止すべきというニュースが大きく取り上げられていたことも記憶に新しいであろう。
最近、ニュースでコンピュータのセキュリティに関するニュースが増加しているので、セキュリティに関する問題が最近急増しているという印象を持たれる方が多いと思うが、マスコミの特性として、その時期に話題になっていることを中心に報道をするという傾向が否めないため、その流行りとして多く取り上げられているように感じられる。言い換えれば、実際は日常的にセキュリティ問題が発生しているにもかかわらず、マスコミに大きく取り上げられていないケースも多くあるのである。
2.Heart Bleedとは
Windows XPサポート終了やInternet Explorerの脆弱性が世間をにぎわせている時期と同時期に、Heart Bleedと呼ばれているOpenSSLの脆弱性という重大な問題が発覚している。この件は、コンピュータ関係専門ニュース以外の一般のニュースとしてはあまり大きく取り上げられてなかったのではなかろうか。
このOpenSSLとはパソコンなどのクライアント側でなく、インターネットを通じて接続する相手先となるサーバ側で使用されるソフトウェアであり、サーバとクライアント間の通信を暗号化するため等に利用されているものである。
前述のInternet Explorerの脆弱性の場合は、パソコン側で使用されるソフトウェアであるため、パソコン利用者が修正プログラムの適用などの対策が必要であったが、OpenSSLは、サーバ側で使用されるプログラムであり、サーバの管理者が修正プログラムの適用を行うことにより脆弱性の対処が行われる。したがって、一般のパソコン利用者としては、何も対応する必要は無いように思える。
しかし、OpenSSLの場合は少し特殊な事情がある。今回の脆弱性による影響は、パソコンなどのクライアントとサーバ間で送信された内容が盗み見られている可能性があることと、皆さんが個人情報等をやり取りしている可能性があるサーバの多くで、このソフトが使用されていることである。さらに、悪い条件として、通信の内容を盗み見られていたとしても、その痕跡が残らない可能性が高いのである。
3.Heart Bleedの危険性
このHeart Bleedと呼ばれる脆弱性によって、皆さんが普段利用しているインターネットのサービスでサーバに送信したデータの内容を盗み見られている可能性がある。このデータには、もちろんログインの時に使用されるIDやパスワードも含まれている。この影響を受けている可能性があるインターネットサービスは、公表されているものだけでも、GoogleやYouTube、Facebook、Dropboxなどをはじめとする、たくさんの人が使っているサイトが多くある。ただし、今回の脆弱性を使用して情報を盗み取ろうとした場合でも、ログインに使用されるIDやパスワードを直接狙って取得することは難しく、実際には、大量の通信された内容を盗み出し、解析した場合に、ログインIDやパスワードがその中に含まれている可能性があるという状況であるので、多くの利用者のパスワード等が奪われているという可能性は低い。そのため、Googleをはじめとするサービス事業者は、ログインの一時停止や、パスワードの変更を指示するという対応は行っておらず、パスワードの変更をお勧めするといったアナウンスを行っている。
ログインIDとパスワードが第三者によって奪われたという確信はないが、奪われていないという保証もないという状況であるから、サービス事業者からのアナウンスも、このようにあいまいになってしまっているのであろう。結局、利用者自身が判断して、それぞれの責任で対応することが求められているのである。
4.パスワードの安全性
パスワードは、頻度は少ないかもしれないが、利用者が知らないうちに第三者に漏えいしている可能性があるという認識でいるべきである。今回のHeart Bleedの場合については、パスワード等が漏えいの可能性があると知ることができた。
しかし、今回のケースに限らず、利用者がその事実を知ることもなしに、パスワード等が漏えいしている可能性はあると認識しておくべきである。
同じパスワードを長期間使い続けていると、そのパスワードが第三者に漏えいしている可能性が高くなっていく。そのため、パスワードを時々変更するということが大切なのである。また、複数のサイトで同じパスワードを使いまわすことも避けるべきである。今回のHeart Bleedに限らず、システムの脆弱性等を利用して入手したIDとパスワードの組み合わせを、悪意を持った者が色々なサイトで入力し、不正なログインを行っているという事件も数多く発生している。
5.インターネットバンキングで被害に遭った場合は
インターネットを利用した様々なサービスのうち、不正に利用された際の被害が大きいものとして、不正送金などで直接的な金銭被害にあう可能性があるインターネットバンキングがある。何らかの原因で皆さんが被害に遭った場合はどうなるのであろうか。
全銀協の申し合わせの内容では、個人が利用するインターネットバンキングの場合、被害が発生した際、速やか(30日以内)に金融機関へ連絡し十分な説明を行うとともに、捜査当局への被害事実等の事情説明を確実に行うこと等を前提として、利用者に過失がない場合は、被害金額が全額保証される。万一被害者に過失がある場合でも、重大な過失がない限り、一部減額の可能性はあるものの、補償はされることになっている。ただし、具体的にどのような行為が重大な過失にあたるかは明記されていないため、万一の場合に備えて、普段からパスワード等の取り扱いについては慎重になっておくべきである。
なお、被害に遭ったのが法人の場合は、この内容が適用されず、銀行側に過失がない限り補償されることはない等、対応が異なる場合があるので、注意が必要である。
————————————————————————
■執筆者プロフィール
池内 正晴 (Masaharu Ikeuchi)
学校法人聖パウロ学園
光泉中学・高等学校
ITコーディネータ
