パスワードを流出させる大型サイバー犯罪が続発し、社会を揺るがせています。特に、オープンソースの暗号通信ライブラリ「OpenSSL」の脆弱性を突いた「Heartbleed(心臓出血)」と呼ばれるサイバー攻撃は極めて深刻なものでした。こうした事件が起こると、ネットの利用者はパスワード変更を要求されます。しかし、多くのID/パスワードを所有・運用しなければならない利用者にすれば、パスワード変更は決して容易なことではありません。パスワードの脆弱性と、その対策について論究してきた筆者が、利用者視点から早急に打つべき対策を提言します。
図1:OpenSSLの脆弱性への警鐘を鳴らすためのHeartbleedのロゴ
オープンソースの暗号通信ライブラリ「OpenSSL」は、世界のSSL利用サイトの6割以上で使用されているといわれています。Heartbleedについては、50万サイトが影響を受けたという情報もあります(図1)。米国ではホワイトハウスが甚大な被害を蒙ったことも判ってきたようです。
Heartbleed で、ID/パスワードが流出したのは、サイトからだけではなく、クライアントやIoT(Internet of Things:モノのインターネット)までが含まれている可能性が指摘されています。流出の可能性があるパスワードやユーザーの総数は、一体どの程度になるのか想像もつきません(図2)。
図2:本人認証を破られると、種々の分厚い防御のいずれも意味がない拡大画像表示
例えば、三菱UFJニコスは2014年4月18日、OpenSSLの脆弱性を突いた攻撃による不正アクセスで、延べ894人の個人情報が不正に閲覧されたと発表しました。具体的には、カード番号や、氏名、住所、生年月日、電話番号、メールアドレス、有効期限、WebサービスのID、カード名称、加入年月、支払口座(金融機関名及び支店名を含む)、勤務先名称とその電話番号です。
この脆弱性は、2年前から存在していたことが確認されていました。このような大きな欠陥がなぜ長期間放置されていたのか、根本的な解決策は何かといった分析はさておき、脆弱性を突いた攻撃は痕跡が残りません。サイトの運営者は、もし脆弱なバージョンのOpenSSLを運用していたのなら、アップグレードや証明書の再発行といった対策を講じた後、利用者にパスワードの変更を依頼しなければなりません。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- ユーザー企業、システム子会社にも大きな影響─今理解しておくべき改正派遣法のポイント(2014/04/30)
- 日産GT-R開発者が語る“日本のものづくり”のあり方(2014/03/06)
- 日本は「おもてなし」ではなく、“表なし”になっていないか?(2014/01/16)
