OpenSSLに重大バグ、中国の2億人に影響
2014年04月10日
オープンソースの暗号通信ライブラリであるOpenSSLに9日、本年度の最も深刻なセキュリティ面のバグ「心臓出血」が発見された。ハッカーはこのバグを利用することで、自宅のパソコンを使うだけで、「https」で始まる多くのウェブサイトのユーザーアカウントとパスワードをリアルタイムで入手できる(ネットバンク、ネットショップ、Eメールなどの情報が含まれる)。中国国内の多くのサイトは9日午後、この深刻なバグの修復に着手した。中国金融認証センター(CFCA)は、「ネットバンクの受ける影響は少なく、U盾(銀行専用USBメモリ)を安心して使用できる」と発表した。新京報が伝えた。
◆2億人の中国人、情報漏洩のリスクに直面
4月7日早朝、国内では同バグを使ったハッキングの兆しが見られた。ネットセキュリティ最大手の奇虎360のウェブサイト安全検査プラットフォームが、国内の授権済みの120万のサイトにスキャンをかけたところ、1万1440のサイトのホストコンピュータが、同バグの影響を受けていた。4月7日と4月8日に、約2億人のネットユーザーが、同バグの存在するサイトにアクセスした。
奇虎360のセキュリティ専門家の石暁虹氏は、「OpenSSLの同バグは、ネットワークの核兵器と呼ばれるほどのものだ。ネットバンク、ネットショップ、オンライン決済、Eメールなどがすべて影響を受ける。多くの個人情報はサイトのサーバーのメモリーポートに保存されているため、ユーザーのパソコンがどれほど安全であろうと、サイトがバグのあるOpenSSLを使用していれば、ハッカーはアカウントとパスワードの登録をリアルタイムで監視できる」と指摘した。
同バグによりどれほどの経済損失が生じたかに関する具体的な統計データはまだ発表されていないが、同バグを発見した研究者は、「最も人気の高い2大ウェブサーバーのApacheとnginxは、いずれもOpenSSLを利用している。全体的に見て、この2種類のウェブサーバーは、世界のサイト数の3分の2を占める」と語った。
◆対応に追われる国内サイト
同バグを発見した研究者は数日前に、OpenSSLのチームと重要な利益関係者に連絡した。OpenSSLはこれにより、バグ発表の当日に、修復版をリリースすることができた。同問題を解決するため、各サイトは最新版を早急にインストールする必要がある。
中国国内の多くのサイトは8日午後に、同バグの緊急修復を開始した。しかしバグ修復には30分から1時間の時間が必要で、大型サイトの場合はさらに長い時間を要する。
フェイスブック、ヤフー、グーグルの広報担当者は昨日、SSLのバグを検証し、重要サービスに修正パッチを貼り付けたと発表した。マイクロソフトの広報担当者も、「OpenSSLの問題に関する報道に注目している。当社の設備やサービスに影響があれば、必要な措置を講じてユーザーを保護する」と表明した。
本記事出稿まで、アリババやテンセントなどの大型IT企業は公式微博(ウェイボー、中国版ツイッター)を使い、同バグを修復したことを発表した。
中国金融認証センターは8日に公式サイトに文章を掲載し、同バグのネットバンクへの影響について、「ネットバンクのシステムは商業級のSSL暗号装置を使用しており、OpenSSLのようなオープンソフトウェアを利用することは極めて稀なため、影響は少ない。一般ユーザーは、U盾を安心して使用できる。確認できないサイトについては、無料のオンラインツールを使い、アクセス先のサイトに同バグが存在しないかを調べることができる。同バグが存在する場合はアクセスを中止し、修復を待つべきだ」と説明した。
■用語の説明 OpenSSL
SSLは幅広く使用されている暗号技術で、ユーザーがネットワークを通じて伝送する個人情報を保護する。SSLはネットスケープコミュニケーションズが1994年に発表し、90年代より主流ブラウザに採用された。同技術は現在、ネットバンク、オンライン決済、ECサイト、ポータルサイト、Eメールなどの重要なサイトで幅広く使用されている。
ユーザーが安全なサイトをアクセスする際に、URLの隣に鍵のマークが表示される。これは同サイトの通信情報が、暗号化されることを意味する。この鍵があれば、第3者は利用者とサイトの間のいかなる通信情報も盗めない。SSL暗号の施されているデータは、受信者にしか暗号を解除できない。
SSLを利用しているサイトの多くは、OpenSSLと呼ばれるオープンツールキットを使用している。今回明らかにされた同バグは、このキットに含まれる。同バグにより、ハッカーはバグの存在するOpenSSLを使用しているサイトのサーバーから、64Kまでのデータを盗むことができる。OpenSSLには約2年前から、同バグが存在していた。
