Twitter は、今週 Web セキュリティの世界を揺るがしたインターネットの脆弱性「Heartbleed」の影響を受けなかったため、消費者が身を守るために変更する必要のあるパスワードが 1 つ減ったが、ユーザーは依然としてこの脅威にどのように対応するか注意する必要がある。
Heartbleedは、Web接続をセキュリティ保護するツールであるOpenSSL(Secure Sockets Layer)のバグで、攻撃者がサーバーのメモリから一度に64KBのデータを盗む可能性があります。研究者によると、Heartbleedは証拠を残さずに複数回自動的に実行され、ユーザー名やパスワード、さらには個人情報を復号するための暗号鍵や証明書を収集される可能性があります。
Twitter社は火曜日の午後、ステータスページに短い声明を掲載し、問題がないことを宣言した。
「2014年4月7日、インターネット全体およびTwitterで広く使用されているセキュリティライブラリであるOpenSSL(CVE-2014-0160)に重大な脆弱性があることが判明しました」と同社は発表した。「twitter.comおよびapi.twitter.comのサーバーはこの脆弱性の影響を受けていないことが確認されました。引き続き状況を監視していきます。」
ヤフー、フェイスブック、グーグル、マイクロソフトといった大手ウェブ企業も、この問題を調査中、あるいは自社サイトで修正済みと発表している。脆弱性を抱えていたのは彼らだけではない。インターネットセキュリティ企業ネットクラフトは、約50万のウェブサイトがこのバグを抱えていたと推定している。水曜日の夜遅くの時点では、この脆弱性を悪用した攻撃の報告はなかったようだ。
Twitterは、セキュリティ危機の核心となったSSL暗号化の異なるバージョンを使用することで、Heartbleedを回避できたかもしれない。しかし、それは、脆弱な状態にあると推定される他の50万サイトへの対策にはならない。
もう一つ朗報がある。Google によれば、Android 4.1.1 という限定的な例外を除き、Android のどのバージョンも影響を受けていないという。
TwitterのサーバーがHeartbleedの影響を受けていなかったら、ユーザーは今回の脆弱性発覚を受けて他のアカウントを更新するのと同じく、Twitterのパスワード変更に数分も費やす必要はなかっただろうと、セキュリティベンダーTripwireのセキュリティ調査ディレクター、ラマー・ベイリー氏は述べた。Twitterは別のバージョンのSSLを稼働させたり、OpenSSLの脆弱な機能をオフにしたりすることで、この危機を回避できたかもしれない、とベイリー氏は述べた。
Heartbleedは、2011年末のOpenSSLのアップデートによってもたらされた、明らかに偶発的なバグだ。ベイリー氏によると、このバグにより、攻撃者がサイト上のユーザーセッションがまだアクティブであるかどうかを確認するために一般的に使用される「ハートビート」機能を悪用する道を開いたという。
Heartbleedの厄介な点は、リリースから最近のアップデートで問題が修正されるまで、常に存在していたことです。ハッカーはその間いつでもこの脆弱性を悪用し、痕跡を残さずにデータを盗むことができたはずです。そのため、ユーザーはWeb企業がサイトのセキュリティを確保するために2つの対策を講じることを期待すべきだとベイリー氏は述べています。
一つ目は、サイトのSSLメカニズムを新しいバージョンを適用するか、脆弱性のある機能を無効にした状態で現在のバージョンを再コンパイルすることで置き換えることです。二つ目は、サーバー上のデータを復号化するために使用されている秘密鍵と証明書を交換することです。これらの鍵と証明書が侵害されている場合、新しいパスワードを設定してもユーザーを保護できないからです、と彼は述べています。
SSLのパッチ適用でさえ簡単な作業ではないとベイリー氏は述べた。サイトによっては複数のバージョンのSSLが稼働している場合もあるため、管理者は徹底した対策を講じ、脆弱性のテストを継続する必要があると同氏は述べた。特に中小企業の場合、サイトの修正にはしばらく時間がかかる可能性があるとベイリー氏は付け加えた。
ヤフーとグーグルはまだ修正に取り組んでいる
ヤフーは水曜日、自社のプラットフォームがハートブリードに対して脆弱であることを認め、問題を知るやいなや修正に取り組み始めたと述べた。
「当社チームは、主要なヤフーのサイト(ヤフーホームページ、ヤフー検索、ヤフーメール、ヤフーファイナンス、ヤフースポーツ、ヤフーフード、ヤフーテック、Flickr、Tumblr)で適切な修正を無事に行い、現在、残りのサイトにも修正を適用するよう取り組んでいます」と同社代表者は電子メールで述べた。
Googleもこの問題への対応に取り組んでいます。「この脆弱性を評価し、検索、Gmail、YouTube、ウォレット、Play、アプリ、App Engineなどの主要なGoogleサービスにパッチを適用しました。Google ChromeとChrome OSは影響を受けません。他のGoogleサービスへのパッチ適用も引き続き進めています」と、同社はブログ投稿で述べています。これらのサービスには、Cloud SQLとGoogle Search Applianceが含まれています。Google Compute Engineの顧客向けには、ユーザー自身が実施する必要がある手順も示しています。
Facebookは、問題が公表される前にOpenSSLの実装に保護対策を追加しており、現在も状況を注視していると述べた。「具体的な措置を示唆するような、アカウントの不審なアクティビティの兆候は今のところ検出されていませんが、この機会に適切な対策を講じ、他のサイトで使用していないFacebookアカウント専用のパスワードを設定することをお勧めします」とFacebookは声明で述べた。
「OpenSSLライブラリの問題に関する報告を受けています。デバイスやサービスに影響があると判断した場合、お客様を保護するために必要な措置を講じます」とマイクロソフトの担当者は述べた。
