お知らせ

2015/06/03

• パソコン関連

添付ファイルと情報漏洩

添付ファイルと情報漏洩

日本年金機構から個人情報が漏洩した件がニュースになっています。 これは不正なメールの添付ファイルを開いた為に、パソコンの中にバックドアという不正侵入の入り口を作ってしまったことをきっかけにしています。 バックドアのあるパソコンを不正に操作され、業務で利用する為にファイル共有サーバーに保存している作業用ファイルを持ち出されてしまったようです。 このようなセキュリティの事故を防ぐ為には幾つかの前提があります。 ・メールの発信元は偽造できる、ということ。 ・添付ファイルはほとんどの形式でマルウェアを含ませることができる脆弱性を持っていること。 ・アンチウィルスソフトでは未知のウィルスを検出できないこと。 この三つの条件は最初に頭に入れておく必要があります。 送信者欄のみを見れば、不明な発信者とはわかりません。 ターゲットをしっかり把握した上で、直接の取引先などに偽装した場合、多くの受信者はこれを不正なメールと判別することは難しいでしょう。 ターゲットをはっきりと把握した、という部分が最も重大で、どのような情報を得るにはどのアドレスに不正なメールを送信すればいいかを攻撃者はあらかじめ把握しているということです。 送信する添付ファイルに含ませるマルウェアは未知の脆弱性を含むものを利用します。 添付ファイルで、エクセル、ワード、パワーポイントなどオフィスファイル以外にも、圧縮ファイルにも、PDFファイルにも現在知られていなく、また検出できない脆弱性があります。 攻撃を目的としているグループでは公表されず修正されていない脆弱性の情報を幾つか持っているでしょう。 盗難できる情報の価値がたかそうな場合はそれらの組み合わせで送信され、今回のように攻撃者は目標を果たすことができています。 これを防ぐ為にはということを考えるなら、流出してはいけないデータを運用する方法を、と考えるのが一番の早道かもしれません。 ネットに繋いでいるパソコン、繋がっていないパソコン、という区別で取り扱うデータを分けるのでも不十分で、また人手による管理が複雑化するだけです。 パソコンを分ける方法で不十分なのは、今回のケースでも住基ネットと直接接続されているパソコンからは個人情報が漏洩していないことからもわかります。 これは行政などに関わらない民間企業でも、十分に想定しておくべき事態です。 これらのことに対抗する装置やソフトができたとしてその裏をかくいたちごっこが続くのでは意味がありません。 保護すべき情報資産を最小限にし、それが流出するリスクを抑えていくにはどうするのかを真剣に考えていく必要があります。

2015/04/16

• パソコン関連

フリーソフトLhaplusに脆弱性

フリーソフトLhaplusに脆弱性

圧縮ファイルを展開するWindows用ソフトLhaplusに圧縮ファイルを解凍するとき、不正なプログラムを実行してしまう脆弱性が発見されています。 対策はLhaplus作者サイトにて最新版をダウンロードすることです。 http://www7a.biglobe.ne.jp/~schezo/ 圧縮ファイルの形式は古く枯れたものであっても、解凍アプリケーションが全く問題を抱えていないということはありません。 一時期国内でよく利用されていたLHA形式という圧縮形式を解凍するためにLhaplusのようなフリーソフトをインストールしていることはよくあります。 こういった脆弱性は一見無害を装ったメールに添付されて、なんらかの悪意のあるソフトウェアを受信者のパソコンで実行します。 このような脆弱性が存在する場合、圧縮ファイルを展開するだけなので大丈夫ということはありません。 Lhaplusを利用中の方は速やかにアップデートをかけておくことをお勧めします。 Windowsアップデートのような仕組みで自動的にソフトウェアの更新を通知してくれアプリケーションはあまり多くはないので、現在利用中のフリーソフトなども最新版が公開していないか一度確認しておくいい機会かもしれません。 バージョンが新しくなっている場合はなんらかの不具合が修正されているでしょう。 まったく修正されていない場合、特に変更する必要がない理由がない場合もありますが、メンテナンスがされておらず利用の継続が危険な場合もあります。 完璧なソフトウェアというものはおよそ作ることは不可能で、またフリーソフトであれば作者の方のスタンスもありコードのメンテナンスが続けられているかどうかは保障されません。 フリーソフトを使う限り、リスクは完全な自己責任ということになりますので、筆者としては可能な限りメンテナンスが続いているものを利用したいと考えています。

2015/03/09

• パソコン関連

Twitterの乗っ取りについて

Twitterの乗っ取りについて

Twitterユーザーは一度は耳にすると思いますが、Tiwtterの乗っ取りや、Twitterのウィルスという言葉があります。 自分も明日には乗っ取られているのではないか、感染してしまうのではないか、という恐れを持っている方もいらっしゃると思います。 Twitterの乗っ取りといわれるものは実際は乗っ取りではなく、ユーザーが意図せずに連携を許可してしまっている、という状態です。 パスワードの情報などは一切取得されていません。 Tiwtterは様々なサービスや、アプリなどと連携するために認証の仕組みがあります。 Tiwtterに対して認証用の申請をすると、自動的に認証用のキーが発行されます。ここに審査はありません。 実際に認証が行われるときは、明示的に画面が認証用のものに切り替わり、パスワードなどの入力を求められます。 このアプリ認証を、気にすることなく行ってしまうと認証先のアプリによって、ユーザーの利用しているTwitterのRTなどの機能を利用して広告や、アプリ認証を促すツイートがRTされていきます。 連携を促す画面とはこのようなもので、Twitterのデータを利用したサービスを受ける場合、他のSNSと連携を行う場合、キャンペーンのプロモーションを促進するため、などに用意された機能です。 これを記事の続きが読みたければ、連携するように促すものがいわゆるスパムツイートというものです。 おおよそのスパムツイートは 「XXXXXがついに、XXX 詳細はこちら-> (短縮アドレス) (画像) 」というフォーマットを取っており、この短縮アドレスが連携を行うページへユーザーを誘導します。 おおよそ内容としてはスキャンダラスなものや、その時話題になっているものが多いです。このような内容のツイートのリンクをクリックしないことが大事です。 気づかずに認証ボタンを押してしまっても、それはユーザーの意思であることになります。 これを連携してしまった場合は、TwitterのWeb画面から設定へすすみ、アプリ連携を解除します。 アプリ連携を見ても、例えばYahoo!のアイコンを勝手に使っていたり、XXニュースなどという当たり障りのないものとして紛れ込んでいます。 Twitterと連携した覚えのないアプリはひとまず解除してしまうのが良いと思います。 その後必要な連携があるのであれば、もう一度その連携を行えばいいはずです。

2015/03/05

• パソコン関連

FREAK脆弱性

FREAK脆弱性

SSL通信にFREAKと名付けられた脆弱性が公開されました。 このところSSL通信で未知の脆弱性が発見され、公開、報告されることが多くなっています。 OpenSSLというオープンソースで構築されたWebサーバーの暗号化に使われているソフトウェアの、実装上の問題です。 OpenSSLを使ってないサービスには問題はなく、またOpenSSLでも正しく設定されていれば影響を受けないものですが、世界中で普及している方式ですので、何割かのサーバーでこの対策が取られていないことが推測されます。 SSLなど暗号通信は、歴史的に見ると米国では軍事技術とみなされていて、他国に暗号化通信の仕組みのあるソフトウェアを輸出する際に、弱いグレードの暗号化しか使わないようにする施策が取られていました。 暗号化通信の仕組みのあるソフトウェアとはInternet Explorerを組み込んだWindowsや、その他様々な暗号化通信を行うソフトウェアがこの規制の対象になっていました。 この弱いグレードの暗号化は、パソコンを利用しても暗号化を破り、平文解読できるぐらい弱いものでした。 現在はこの輸出規制が取り除かれて、十分な長さの鍵長をもつ暗号化鍵を利用できるようになっていますが、当時全てのパソコンがこの強い暗号化に対応していないことを見越して、グレードの低い暗号化で一時的なやりとりする仕組みがOpenSSLに組み込まれていました。 今回の脆弱性はこの頃に実装された暗号化ダウングレードの際の脆弱性を突いています。 暗号化通信の傍受には中間者と言ってサーバーとクライアントの間に、なんらか通信の傍受を意図した者が、その通信を捉え続け介入する必要があります。 あらゆる通信についてこの傍受を行なうと非常にコストが高いですが、ターゲットを定めた特定のやり取りの中に入り込むことで重要な情報を傍受することができ、傍受された側はそれを察知することができなく、記録も残らないものです。 ですので現在のところ一般の方に大きなリスクをもたらすものではありませんが、今回この脆弱性を公開したグループは、かつて暗号の輸出規制を定めた米国国家安全保障局のWebサーバーにもこの脆弱性があることを公開しています。

2015/02/23

• シスキュー技術部

Superfishの脆弱性問題

Superfishの脆弱性問題

つい先日レノボ(Lenvo)の家庭用パソコンラインナップの中に、Superfishという本来広告表示用とされるマルウェアがプリインストールされていて、それが大変危険なものであることが明らかになりました。 https://filippo.io/Badfish/ レノボのパソコンをお持ちの方は上記URLをクリックし、Goodと表示されていれば、この問題を受けていないことになります。 このサイトは、Superfishが偽造した危険なSSL証明書をパソコン内部に持っているかを診断します。 危険なSSL証明書 ウェブブラウザでは鍵のマークや緑色の文字などで表示されて、暗号化がきっちりと行われる状態であることを表しています。 Superfishはこの証明書をパソコン内部に追加して、書き換えることによってこの暗号化を回避し、通信を盗聴することができる仕組みを持っていました。 SSL証明書は暗号鍵のペアを作り、これを有名なところではVeriSignなどの公的認証局に署名を受けます。 この署名を受けた鍵を信頼できるかどうかは、ルート証明書という公的認証局が正しいものであるか判断するものをパソコンの内部に個別にもっています。 このSSL証明書が正しいかどうかは、パソコンはパソコンの内部にあるデータを参照します。 Superfishというマルウェアはこの証明書を偽造して、パソコンの内部に勝手に保存し、SSL通信の間に入ることによって、Superfishや他にこの脆弱性を知るソフトウェアからの盗聴を許します。 ユーザーとしては、緑色や鍵のマークで安心して暗証番号を入力しているとしても、この脆弱性を抱えているパソコンは、この通信の内容を全てどこかのサーバーに送信されているのかもしれません。そしてすでに送信されてしまったかどうかを調べる術はありません。 SSL証明書の事件 本来であれば、OSメーカーやブラウザの製造元によってこれらのルート証明書は保管され、証明書を格納するフォルダに入っています。 2011年にDigiNotarというほとんどのパソコンが正しいと認める証明局が悪意あるものに攻撃され、様々なサイトの暗号化鍵を偽造した事件がありました。 この事件が発覚して、DigiNotarの証明書はすぐにOSやブラウザなどからアップデートを通じて削除されました。 これは認証局の取り消しというメーカー側で一元管理できる方法で解決しましたが、個別のパソコンに偽造された証明書を追加する今回の脆弱性の方が危険性は大きいかもしれません。 危険なソフトウェアを回避する Superfishの用いたような証明書の書き換えなどは、一般のユーザーにとっておそらく感知できないものです。現在どのような証明書を持っているか、確認する方法はあっても、普段それを確認してからブラウザを開く、という習慣を持つことなどありえないことでしょう。 今後OSにより、なんらかの対策がされるか、どのような経緯をたどるかはわかりません。そもそもSSL証明書自体の本質を突くような攻撃です。 独自に証明書をインストールできない仕組みにすると、今度は企業が独自の証明書を作成し、公的機関やオンラインバンキング専用サービスの通信を行う仕組みのソフトウェアが動作しなくなってしまいます。 今回はプリインストールされているマルウェアです。これを回避する方法は一般のユーザーには難しいことでしょう。 レノボのパソコン自体に信用がなくなってしまうぐらいの重要なことです。 様々な悪意あるダウンロードサイトなどから、いつこのようなマルウェアをインストールしてしまうかはわかりません。 WindowsではUAEというインストールするアプリケーションが、自分のインストールするものが間違っていないかをポップアップして確認してくれる仕組みを持っています。 ほとんどの人がこれを見ずに全て許可しているかもしれません。そうしていると重大な危険を持つソフトウェアをインストールしたことに気づくことさえないでしょう。 運営実態のわからない危険なダウンロードサイトでは、これらのマルウェアを仕込んでいる可能性もあるということです。 根本的な対策が取られるまでは、このような注意を行なっていく必要があります。

2015/02/20

• パソコン関連

そのメール、安全ですか？

そのメール、安全ですか？

　電子メールはビジネスには欠かせないものになって、もう十年以上は経つでしょう。 　FAXは少なくなり、重要なものは封書で送られているでしょうが、見積書や、図面、設計書など様々な業務に関するデータも送信されています。 　電子メールについては、かなりの方が安心感を持って利用されていると思いますが、やりとりされているほとんどの電子メールは暗号化をされていません。 　通販サイトでもメールでのクレジットカードのやり取りはおやめください、と注意されるのはそれが理由です。 　Webブラウザで鍵のマークが表示されているSSL通信は完全に送受信について暗号化されていて、送信先サーバーも保証されています。そうでなければクレジットカードの情報などは安心して送ることができません。 　メールについては、ほとんどのやりとりがこのような安全対策を取られていないのが現実です。 メールの暗号化 　メールをライブメールや、Thunder Birdそのほか様々なメールクラアントがありますが、これで社内やプロバイダのメールを送受信されている方は、メールの設定の際にPOP3やSMTPなどの用語はお聞きになったことがあると思います。 　これを暗号化したものがPOP3SやSMTPSになりますが、多くの方がこれを利用されていないと思います。 　ポート番号がわかれば、POP3が110番、SMTPが22番や587番を指定されている場合は、よっぽどのことでない限り、サーバーとクライアント間で暗号化されていません。 　宅内や、事務所内、固定回線を引いて、あるいはスマートフォンで3Gや4Gインターネットをしている場合、ほとんど気にする必要はありません。 　危険な可能性があるのはフリーのWi-Fiスポットや、暗号化されてないWi-Fiにただ乗り、もしくは勝手に接続している場合です。 　この場合、Wi-Fiスポット運営者に悪意があれば、すべての暗号化されていない通信は盗聴でき、また盗聴されたことを気がつく方法もありません。 　最近スマートフォンやノートパソコンでWi-Fiスポットなどを利用するシーンが増えてきましたので、かつてよりも暗号化されていないメールのやり取りのリスクは高まってきています。 双方向の暗号化 　これは送信側の問題だけではなく、受信側も同じで、送信側が暗号化されたメールを送っても相手がたのメールサーバーで一度暗号化されていない形に復号されます。 　そこから暗号化されていないPOP3やIMAP4でパソコンやスマートフォンで受信する場合は、暗号化されていない状態でのやり取りになります。 　送信側が安全な状態であっても、受信側が危険な状態で受信している限りは、盗聴されている可能性がある、ということです。   安全なメールの運用 　もっとも簡単で、安全にメールを送受信する方法として、ブラウザ型のメールクライアントを利用することです。 　GmailやOutlook.comなどのWebサービス側のメールクライアントでであれば、サーバーへの送信、サーバーからの受信についてはSSL通信で守られているため、盗聴の危険性はありません。 　Webメールクライアントにも他のアカウントのPOPやIMAPを設定することができるものもあり、Webサービスと、他のアカウントのサーバーとの通信に盗聴が入る可能性はとても低いです。 　ただWebサービス運営会社に預けるのが怖い、という方もいらっしゃると思います。その辺りはサービス運営会社との信頼関係になります。 　ただ、送受信の双方が安全な経路を使っていないことのリスクも高まってきてはいますので、どちらが安全で、どちらが危険とは一概に言えない状況です。

2015/02/18

• パソコン関連

モバイル生活の注意点と対策

モバイル生活の注意点と対策

　この度、生活の場を移すにあたり、光回線の工事が行われるまで二週間の期間が必要でした。 　その間の仕事については、スマートフォンのテザリングなどで通信量からも十分やりとりできるだろうと考えていましたが、何点かの落とし穴がありました。 　一週間以上、モバイルルーターやテザリングなどで仕事などを行う場合にわかった注意点を書いてみたいと思います。 制限について 　パケット通信にはほとんどのキャリアでは上限が設定されています。月間の上限や、直近三日間の上限など条件はあらかじめ確認しておくことが必要です。 　この上限を超えてしまうと、あらかじめ設定された制限期間内通信が制限され、小さな画像でもダウンロードするまでに時間がかかります。 　動的なWEBページなどでは操作が可能になるまでかなりの時間がかかってしまいます。 　むやみに動画などを見ているとこの通信制限に簡単に引っかかってしまいます。 自動アップデートは切っておく 　OSや、スマートフォン、アプリの自動アップデートは、全て事前に済ませておき、テザリングなどでの環境では、自動アップデート、自動ダウンロードは切っておきましょう。 　ここで数百MB以上のパケットを意識せずに使ってしまうと、一気に通信制限に引っかかってしまう恐れもあります。 　もちろんアップデートはセキュリティなどで重要なことではあります。 フォルダ同期アプリケーションは止めておく 　DropboxやGoogleDriveアプリ、BOXなどのファイル同期アプリケーションはできるだけ同期を止めておいたほうがいいでしょう。同期されていないデータがあれば、気づかずに同期を始めてしまいます。 　またこういったアプリは、再起動時には一時停止状態から、同期状態に変更して起動してきますので、PCの再起動には注意が必要です。 　これらサービスはWEBブラウザによる操作も可能ですので、アップロードやファイルの取得はブラウザから行うことで最低限の通信量に抑えられます。 クラウドバックアップなども切っておく 　iPhoneのiCloudバックアップなどはWi-Fiに接続された状態で電源ケーブルを接続していれば、自然とバックアップが始まります。 　この間にアプリ内で編集されたデータや写真などはすべてアップロードされますので、撮影枚数などによってはかなりのパケットを使ってしまいます。 　もちろんデータを失うのは最も避けたいところですので、その辺りの切り分けは判断しなければなりません。 　パソコンにつないでバックアップができるなどの場合は、そちらを選択するべきでしょう。 対策：フリーWi-Fiスポットなどを利用する 　フリーのWi-Fiスポットなどを利用するのは、多少のリスクがある方法ですが、わかりやすい対策です。 　フリーWi-Fiスポットでは、httpsなどのSSL通信のみ行うようにすれば、よほどフリーWi-Fiスポット運営者に悪意がない場合は問題ないと考えていいでしょう。 　アップデートやバックアップ、クラウドとの同期はほぼ100%SSL通信を利用しています。 　場所によっては公的なものや、企業が運営するものなどがありますので、接続に問題なさそうであればこれを使うのも良いかと思います。 　やはりクレジットカード番号や、パスワードなどセキュリティーに気を使う情報を扱うのであれば、利用しないことをお勧めします。 対策：Wi-FiテザリングよりもBluetoothテザリングを使う 　スマートフォンによってはBluetoothテザリングを利用できるものもあります。 　BluetoothテザリングはWi-Fiテザリングよりも低速なので、Webブラウズや、Webアプリの操作は少し時間がかかりますが、通信量を抑えておくことができます。 Wi-Fiテザリングであれば、SSIDとパスワードを覚えているPC、スマートフォン、タブレットは自動でつなぎに行ってしまいますが、Bluetoothテザリングであれば、これを回避できます。 対策：モバイルルータを事前にレンタルする 　旅行者や出張用にモバイルルータのレンタルする業者があります。 　これを利用するのも一つの方法です、1日¥400~でレンタルできますので、Webで調べてみてください。 　そちらである程度カバーすることで、スマートフォンなどの通信制限を回避することができます。 　ただレンタルモバイルルーターにも通信制限がある場合が多いので、事前の確認が必要です。 Wi-Maxなどのレンタルであれば、無制限など、レンタルするものによって制限が違いますので、エリア内などうかなど下調べをしていく必要があります。

2014/05/02

• パソコン関連

InternetExplorer脆弱性について

InternetExplorer脆弱性について

先般よりニュースなどでInternetExplorerの脆弱性が話題となっており、InternetExplorerの利用を中止するようにといった勧告が出るにあたって、利用者の中で一部混乱が起こっているようです。 これについて、本日Microsoftより正式に対応する更新プログラムがリリースされています。 サポート終了がアナウンスされたWindowsXPでもスクリーンショットのようなかたちで、WindowsUpdateで配布されています。 また正式なリリース情報については https://technet.microsoft.com/ja-jp/library/security/ms14-021 上記URLを参照ください。 今回の脆弱性については、これが正式な対応になるものと考えられます。 なぜサポート終了したXPでも配布されるのか 今回の件は技術サポートであり、本来であればWindowsXPには配布されないものです。 この脆弱性の発見によりUS-CERT(米国国土安全保障省配下の情報セキュリティ対策組織)がIEの使用を見合わせ、他のブラウザを使用するようにと勧告を出し、それまでにない異例の緊急事態のように報道で取り上げられた事が、今回のリリースにつながったのではないかと考えています。 US-CERTは様々な分野で緊急の脆弱性が報告された場合、ほとんどの場合使用の見合わせを勧告していますので、今回のInternetExplorerについて異例の発表をした訳ではありません。 ただこのWindowsXPサポート終了の話題と合わせて大きく取り上げられてしまい、最終的にInternetExplorer自体が忌避される事を恐れた可能性があります。 InternetExplorer開発チームはMicrosoft社内でも大きい部門になり、InternetExplorerはWindows販売戦略の中でも重要なポジションにあります。 InternetExplorer自体が脆弱性を放置された危険なブラウザ、というネガティブイメージを与えるのは、この時点では得策ではないという事でしょう． そういった事情もあり、今回のセキュリティ更新プログラムは異例の処置として考えるべきで、今後同様の措置がとられる事は期待しない方が良さそうです。

2014/04/17

• パソコン関連

ソフトウェアの脆弱性とは

ソフトウェアの脆弱性とは

OpenSSLの脆弱性が大きく取り上げられている中、WindowsXPも公式に脆弱性への技術サポートが終了する事になりました。 この脆弱性とは、いったいどうして発見されるのでしょうか。 なぜ脆弱性が発見されるとよくないのでしょうか。 ソフトウェアの脆弱性とは ソフトウェアの脆弱性とは、簡単に説明すると、ソフトウェアの欠陥です。 現在話題になっているOpenSSLを例にとります。 OpenSSLはサーバーとクライアントの間、Webサーバーと、Webブラウザの間の暗号化を行うものです。 この暗号化は、双方に保存された鍵ファイルがなければ、お互いのデータを暗号化以前に戻す事ができない事が基本の機能です。 インターネットの通信は、突然片方から切断する事、回線が遅くなってしまうこと、などを十分含めて設計を行わなければなりません。 OpenSSLはその機能を拡張していく中で、Heartbeat(心拍)というサーバーとクライアント間の接続を長く保持する機能を持ちました。 Heartbeatというデータを送信している限り、ネットワークは途切れていないので、接続を保持してくださいという指示を出します。 このHeartbeatという機能に欠陥があり、そのHeartbeatのデータを不正な形に加工する事で、OpenSSLが予期しない動作を起こす事が発見され、それが今回のHeartBleed(心臓出血)と名付けられた脆弱性になります。 このHeartbeatは定められた規格によれば、データの大きさというものを保持するようになっています。 そのデータそのものと、データの大きさを違ったものにすると、OpenSSLはサーバーのメモリに格納された余分なデータを返却してしまうという、欠陥です。 このような仕様以外のデータに対して、誤ったデータとして処理すべきものですが、その部分が大きく抜けてプログラムが作成されていた、ということが今回の問題を引き起こしています。 脆弱性が見つかるとどうなるか OpenSSLはオープンソースソフトウェアという、プログラムのコードがすべて公開されたソフトウェアで、組み込む事は無料です。 OpenSSLはWebサーバーをはじめとして、インターネットを介した暗号化通信のスタンダードとして利用されてきました。 しかし、本来あってはならない欠陥が発見され、修正は行われましたが、その適用をサーバーに対して行うのは、サーバーの管理者になります。 ですので、未だに脆弱性を放置されたサーバーは数多くあるという事です。 これらに対して、脆弱性が公開されると、同じ状態を再現する事は簡単な事になります。脆弱性を見つけるのは難しくとも、公開されてしまえば、再現は簡単なのがソフトウェアの世界です。 このOpenSSLのようなソフトウェアは、非常に膨大なコードから成り立っています。すべてのコードに欠陥があるかどうかを、一から洗い出しきる事はかなり難しい事です。 機能が増えれば増えるほど、あり得るケース、あり得ないケースのすべてを確かめる事が必要ですが、その部分に漏れがあったという事です。 OpenSSLほど広く使われているものは、すべてが最新版に置き換わるまでは非常に長い時間がかかり、その間ユーザーのデータは危険にさらされ続ける事になります。 脆弱性に対しどう向き合うのか コンピュータの世界は、このように複雑なプログラムの集合体で、それはスマートフォン、タブレットであっても全く同じです。 WindowsXPのように10年以上現役で使われていたシステムでも、すべての欠陥を洗い出す事ができないため、今後新たな欠陥が見つかる可能性はほぼ100%です。 それがユーザーにとって深刻なものか、あるいは公開されずに秘密裏に利用されるものかは、わかりません。 ただ放置されれば、悪用される危険性は一秒ごとに増していくものです。 システムがアップデートにアップデートを重ねているのは、現在のソフトウェアがより複雑になっていく中で、さけられない事です。 WindowsXPの更新が停止してしまったという事は、今後脆弱性は放置されるという事、そしてWindowsのプログラムのコードは公開されていないので、実質Microsoft社でしか修正できない、という二点が重要なポイントです。

2014/04/14

• シスキュー技術部

OpenSSL脆弱性(Heartbleed)について

OpenSSL脆弱性(Heartbleed)について

OpenSSLというWEBサイトの暗号化に使われるソフトウェアの脆弱性が発見されました。 OpenSSLは、オンラインバンキングや、自治体、オンラインショッピング、SNSなど広く使われており、通信の内容を暗号化するための仕組みです。 これに、現在WEBサーバーが扱っている情報を暗号を解除して取り出す方法が発見されました。もちろんこれは暗号化の目的からあってはならない事です。 どのような内容か この脆弱性はここ二年間の間にリリースされたすべてOpenSSLに存在し、この脆弱性が指摘し修正されるまでの二年間にすでにこの脆弱性を利用されている事態も考えられます。 WEBブラウザのアドレスバーに鍵のマークが出てくるhttpsで通信した内容が、余す事無く漏洩しているかというとそれは最悪の場合であり、現実的なケースを考えるとサーバーとブラウザなどのクライアントの通信の間に入り込めば、通信の一部が傍受できる状態になっていた、という事です。 専門的な話になりますが、OpenSSLはサーバの中に秘密鍵という外部に出してはいけないデータと、通信相手に公開する公開鍵の二種類の鍵のペアで、暗号化と復号を行います。 その仕組みの中で、秘密鍵がサーバーの外に漏洩しなければ、他者の通信を復号して傍受する事はできません。 ただ今回の脆弱性はOpenSSL自体が扱うデータのすべてを、ごくわずかながら復号化された形で攻撃者によって取り出せてしまうため、そのOpenSSL自体が実行中に秘密鍵を扱う性質上、秘密鍵を取り出す事が可能となります。 秘密鍵以外にも、現在通信中の、何らかのデータも復号して取り出す事ができます。その中にユーザーのパスワードやクレジットカード情報が含まれている可能性はあります。 攻撃者は望み通りのデータを取り出す事ができないので、いま扱われているデータのどこかしらを取得できる、というものですが、実際10万回の試行で秘密鍵を取り出す事ができた、という報告もあります。 どのような影響があるか あくまで最悪の可能性を考えると、すべての暗号化通信が復号化され傍受されている、という事になります。 サーバーの秘密鍵を完全に取得し、サーバーとクライアント間の通信を取得する事ができるものがいれば、暗号化はされていなかった事とほぼ同じになります。 ただサーバーとクライアントの中間に入るというのは、言葉にするほど簡単な事ではありません。 簡単な事ではありませんが、中間者からの攻撃を防ぐ手段として利用されていたSSL自体にこのような脆弱性があることは、かなり大きなリスクで、利用者の多い大規模なWEBサービスや、特定の個人や組織をターゲットとした攻撃としては、十分に想定すべき内容です。 またこの攻撃の手法が確立した事により、OpenSSLへの攻撃アクセスが増加しているという事です。 価値のある情報、例えばクレジットカード、個人情報などに紐づくサービスを利用されていて、サーバーがOpenSSLを利用している事がわかる場合は、脆弱性修正までに利用していたパスワードなどは変更することがベストな選択です。 逆に言えば、対策前のサーバーに対して、パスワードを変更しても、脆弱性を悪用され、漏洩する危険性があるという事になります。 現在利用しているSSLを利用したサービスの対応状況がアナウンスされるまでは、通信は控えた方がよいかも知れません。 弊社独自管理サーバーのOpenSSLは最新版に更新し、サーバー内の秘密鍵の変更を既に行っています。