OpenSSLのセキュリティホール問題は、ユーザーも含めたネット全体の問題です。
今日(4月18日)の日経新聞にも出てしまった、OpenSSLのセキュリティ問題、「OpenSSL」そんなのしらないし、技術者だけの問題だと思わない方がよいですよ。
OpenSSLは、いま暗号化するときに使うSSLを取り扱う時に必要となるソフトウェアで、そのソフトウェアがセキュリティ問題が起きたということは、「SSL通信だから安全」という前提がなくなったということになるのです。
インターネットサービス企業Netcraftは4月15日(英国時間)、「Heartbleed: Revoke! The time is nigh! |Netcraft」において、今回発見されたOpenSSLのセキュリティ脆弱性(通称Heartbleed)を利用して実際に秘密鍵を取得できたことなどを伝えた。SSL証明書などを再発行して現在使われているSSL証明書を更新することが推奨されている。
OpenSSLのセキュリティ脆弱性(Heartbleed)を使ったサイバー攻撃はまだそれほど悪用されていないと見られており、現在は主にセキュリティ研究者らの検証に使われていると考えられている。しかし、簡単に秘密鍵が取得できることが明らかになったことで、今後SSL経由での通信が安全には実施できないサーバが増加することが予想される。
OpenSSLのセキュリティ問題、たとえばどういうこと?
ここで出てくる秘密鍵は、SSLを使うときに基礎となる鍵の一つです。家の鍵でも鍵穴と鍵本体があるかと思いますが、鍵穴自体が、公開鍵と呼ばれるもので、鍵本体は、秘密鍵と呼ばれるものになります。※正確には、こんなにシンプルではないですが。イメージとしてです。
つまり、鍵自身を盗むことができてしまったというニュースなのです。
結構、こわいですよね。そこに、自分の大事な情報を預けているすれば、それが盗まれる可能性が高まることですから。
基本的には、技術者が対応する問題ですが、ユーザーとしても利用しているサービスがこの対策を取っているかに注目する必要がありますね。