「Heartbleed」と呼ばれる新しい重大なセキュリティ上の脆弱性が米国時間4月7日夜に明らかになり、ウェブ全体に深刻な影響が示唆されている。このバグによって、ユーザー名、パスワード、クレジットカード番号といった個人データをはじめ、慎重に扱うべきユーザーデータが保管されているサーバのメモリから、データを取得されてしまうおそれがある。
これは極めて深刻な問題であり、インターネット調査会社Netcraftによれば、約50万台のサーバに影響があるという。本記事では、自分の情報を保護するためにできることについて、米CNETがセキュリティの専門家に聞いた方法を紹介する。
影響を受けているサイトのアカウントには、その企業が問題にパッチを適用したことを確認できるまでログインしないこと。セキュリティとコンプライアンスを専門とするTrustWaveのセキュリティリサーチマネージャーであるJohn Miller氏は、企業が積極的に情報を公開していない場合(修正を確認したことを発表していない、進捗状況が公表されていない場合)、カスタマーサービスに連絡して情報提供を求めるべきだと述べている。
影響を受けていると思われるウェブサイトには、米YahooやOKCupidなどがある。ただしこうした企業は、自社のサイトは完全に対応済み、あるいは部分的に対応済みだとしている(詳細は下記を参照)。ここを見れば各サイトの状況を個別に確認ができるが、「問題なし」となっているサイトでもまだ注意したほうが良い。要注意とされているサイトは、現時点では利用を控えよう。
今すぐパスワードを変更したいというのが自然な反応かもしれないが、セキュリティの専門家は、バグが修正されたという確認を待つよう勧めている。脆弱性のあるサイトでのさらなるアクティビティは、問題を悪化させる可能性があるためだ。
セキュリティパッチの適用を確認できたら、銀行や電子メールのような慎重に扱うべきアカウントのパスワードをまず変更すること。2要素認証(パスワードに加えて、テキストメッセージで送られてくるコードなど、もう1つの本人確認情報を要求する認証方式)を採用している場合でも、そのパスワードを変更することを勧める。
自分のデータを預けている場合は、小規模企業にもためらわずに連絡を取り、安全であることを確かめること。TrustWaveのMiller氏は、YahooやImgurのような著名企業は間違いなくこの問題を知っているが、小規模企業は問題に気づいてすらいない可能性があるとしている。自分の情報が安全であることを積極的に確認しよう。
これから数日間は銀行口座の明細などを注意して確認すること。攻撃者がクレジットカード情報を求めてサーバのメモリにアクセスする可能があるため、自分の銀行口座の明細に覚えのない請求がないかどうか、注意して見ておいて損はない。
これらのガイドラインに従っていても、このバグの直後にウェブサーフィンをするのにはまだ多少の危険がある。Heartbleedは、サイト上でのユーザーのアクティビティを追跡するブラウザのクッキーに影響するとも言われている。そのため、脆弱性のあるサイトを訪れるのは、ログインしていなくても危険だ。匿名性とプライバシーを推進する活動を行っているTor Projectは、ブログ記事で、匿名性とプライバシーを守りたいユーザーは「状況が落ち着くまで今後数日間、インターネットを全く使わないほうが良いかもしれない」と書いている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」