利用者側からみたハートブリード対策

Heartbleed - ハートブリード

先日アップした『ハートブリード』対策に関する記事は、サーバ管理者視点のものでしたが、掲載が比較的早かった事もあってか、ここ数日この記事に対する多数のアクセスを頂いているようです。

この問題に関しては、昨日あたりから一般の方の間でもかなりツイートされているようですが、サーバ管理者向けではなく一般利用者はどういう動きをすればよいか?という点についても書いてみます。

※2014/04/11 16:13 「おまけ」追記しました。

間違った、あるいは、誤解を与えかねない意見

ネット上では色々な意見が交わされていますが、誤解を与えそうな意見等も見られるので整理します。

直ぐにパスワードを変更するべきだ

『パスワードを変更するべきだ!今がいい機会だ!』という意見があるようですが、これはきちんと「ハートブリード」への対策を行っているWebサイトやサービスに限っての事です。

対策を行っていない場合にはパスワードの変更だけではなく、原則アクセスするべきではありません。

今回のバグは通信先のメモリに含まれる情報を読み出せるという類のもののようですので、攻撃者が攻撃を仕掛けているのと同じ時間にアクセスを行うというのが一番危険な行為になります。
なぜならアクセスする=メモリ上にアクセス者の情報がロードされる事になるからです。

HeartBleed

やってはいけない事

上図に示したように、今の時点でやってはいけない事(少なくともしない方がよい事)は、

対策を行っていないサイトやサービスの利用

です。
特に詳細な個人情報や機密情報が含まれるサイト・サービスで『ハートブリード』バグが残ったままのところへはアクセスするべきではありません。
攻撃者が攻撃を行っているかどうかは判らない、且つ、証拠も残りませんので、サービス提供側に自分の情報が漏洩したか聞いても、「判らない」としか答えてくれない可能性が高いです。

やった方がいいこと

サイト/サービスの対応状況確認

よく利用しているサイト(且つ、機密情報が含まれているなら特に)の対応状況を確認しましょう。

  • OpenSSLのバージョンは脆弱性のないバージョンだったか?脆弱性のあるバージョンだった場合、問題ないバージョンにアップデートしたか?
  • 証明書は作り直したか?
    OpenSSLのアップデートだけ行った場合、アップデートのタイミングによっては、既に証明書(秘密鍵)の情報が盗み出されている可能性もあります。
    証明書の再発行まできちんと対応しているサイト・サービスであれば、OpenSSLアップデートだけ行っているサイト・サービスよりも信頼できます。

対策済みサイトでのパスワード変更

対策が行われた旨アナウンスされ、パスワードの変更要請や勧告がなされているサイトではパスワードの変更を行った方がよいでしょう。

この時気を付ける点としては、既に利用しているパスワードと同じものには設定しない事です。

設定変更後のパスワードが対策を行っていないサイト・サービスで利用されていた場合、これらサイトから漏洩する事で、idやメールアドレスとパスワードの組み合わせ等からアカウントハッキング等が行われるリスクが高くなります。

アカウントの整理

上記対策済みサイトでのパスワード変更よりも、こちらを先に行った方がよいかもしれません。この機会に利用しているサイトを整理し、保存してある情報の重要度を書き加えたリストを作ってみるのはいかがでしょうか。

どのようなパスワードを利用しているかについては適切な管理ソフトウェアを利用する等して、ソーシャルハッキング等されないように注意しましょう。

情報流出のチェック

既に対策済みかどうか不明なサイトにアクセスしてしまったという方もいるかもしれません。その手のサイトがECサイト等の場合、既にクレジットカード番号等を含む個人情報が読みだされている可能性も考えられます。

今後しばらくの間はカードの利用履歴等もきちんとチェックし、身に覚えのない利用履歴がある場合には、しかるべき対応を行えるようにしておいた方がよいかと思われます。

まとめ

証明書(秘密鍵)の情報が抜き取られた場合、且つ、以前のSSL通信のログが保存されている場合には、過去ログ+秘密鍵 によって、過去の通信内容を復号化してみる事も可能になります。(過去に行われた通信内容中に含まれる個人情報や機密情報が漏洩する)

ですので、今回の問題発覚後だけではなく、問題発覚前のアクセスログから情報が漏洩する可能性もゼロではありません。

こういった可能性も考慮して、対応できるようにしておいた方がよいと思います。

おまけ

主要サイトの『ハートブリード』対応状況を示しているサイト。

  • The Heartbleed Hit List: The Passwords You Need to Change Right Now
    主要サイトの『ハートブリード』対応状況、及び、利用者が行うべき対応が記されています。
  • musalbas / heartbleed-masstest
    ※当初のリンク先がリンク切れしていたため、差し替えました。
    4/8 16:00(UTC) に行われたスキャンテストの結果。
    この時点だと、かなりのサイトが脆弱性あり (vulnerable) と判定されているのが判ります。