先日公開したポストの後半についでに書いたハートブリード問題ですが,何やら奇妙な展開になってきました.なお,問題となっているオープンSSLのバージョンは1.0.1から1.0.1fまでです.1.0.1gからは修正されているため問題は解消しています.そして,当該の脆弱性は,2011年の12月から存在していたようだと言われています.(Cf. フランスのオブザーバーの9日付"Faille de sécurité : faut-il avoir peur du grand méchant Heartbleed ?")
4月10日付シュピーゲルの"Internet-Sicherheitslücke: Deutscher programmierte Heartbleed-Fehler"は,この脆弱性の原因となったコードはドイツ人プログラマーによって書かれたものと伝えました.また,このプログラマーの名前をツィッター上で公表したハッカーでブロガーのFelix von Leitner氏は,彼は意図的に問題となるコードを書き込んだ可能性もあり,その場合,どこかの情報機関の指示によったものかもしれないと述べています.しかし,名指しされたプログラマー自身(Robin S.氏)は,シュピーゲルからの質問に対し,自分は確かにオープンSSLのコード作成に関わった,その際,複数のバグフィックス(修正プログラム)を作成したり,また新たな機能を追加したりしたもののそれらは何度も検証して問題のないことを確認していると回答したそうです.
そして,シュピーゲルの同じく"Heartbleed-Sicherheitslücke: Diese Passwörter müssen Sie jetzt ändern"には,以下のサイトの運営者はそれぞれのサーバーにおける脆弱性の修正が完了したと報告しており,利用する際の安全性を確保するためにパスワードを変更する必要があると書かれてあります.
冒頭で紹介したオブザーバーの9日付"Faille de sécurité : faut-il avoir peur du grand méchant Heartbleed ?" も当該の脆弱性に対する安全性を確保する確実な方法として,やはり,利用するサイトが当該の脆弱性を持っているかどうかを確認し,問題がないことが判明したらパスワードを変えることを推奨しています.なお,この確認は,過去のポストで紹介したFilippo Valsorda氏が作成したサイトを 使っても行うことができますが,同氏は,それで得られた結果も100%確実であるとは限らないと述べています.加えて,管理者が自らのサイトのサーバーのオープンSSLが当該の脆弱性を持ったバージョンであることを知りつつ,攻撃や侵入をしかけてくるハッカーたちを特定するために問題のあるバージョンを意図的に維持する可能性についても言及しています.
何しろ,FBIのサイトですら影響を受けた可能性が取り沙汰されているので止むを得ませんが,迷惑な話です.(仕方がないので,とりあえず通信販売を利用しているYahooからパスワードを変えようと思います.それから,念のために銀行やクレジットカード会社のサイトで使っているものも.面倒なことおびただしいですが.でも,定期的に変えることが推奨されているのでよい機会かもしれません.しかし,これまでデパート等で「年会費無料で,安くお買い物ができますから」などと勧誘されるたびについ作ってしまい大半が殆ど使っていないクレジットカードですが,必要以上に持っているのは危険だと改めて気づかされました.使っていないといっても,もし過去に一度でも使っていたら,その情報は漏洩している可能性があるわけですから.)
心配になったので,今,試しに口座を持っているみずほ銀行のオンラインバンキングのサイトを調べてみたところ,下の結果(修正されたこと,あるいは脆弱性は存在していないこと)が示されたので,面倒ですがパスワードを変更することにします.(なお,上記のFilippo Valsorda氏のサイトに入力するURLはログイン画面など,httpsで始まるSSLで保護されたサイトのものである必要があります.)
関連記事:ル・モンド4月12日付"Faille Heartbleed : les sites pour lesquels il est conseillé de changer son mot de passe".
まず初めに覚えておかなければならないことは,どんなパスワードでも理論的に時間さえかければ必ず見破られてしまうということです.問題は,その時間をどれだけ引き延ばすかということです.つまり,数分,あるいは数時間程度で見破られてしまうものであれば,ハッカー側でも採算が合うかもしれませんが,これが数年,数十年かかるとしたら,到底採算に合わないでしょうし,さらに,数百年かかるとしたら,ハッカー自身見破った時点で確実にこの世にはいないので無意味な行為とあきらめるでしょう.そんなパスワードを作る方法の一例をご紹介します.
1) 何でも良いので,文字列(文)を見つけるか,あるいは作ります.言うまでもありませんが,文字数の制限内におおよそ収まりそうな文字列です.そして,慎重を期したいのであれば,日本人でもあまり知らないような文を選びます.
例えば,「女氏無くして玉の輿に乗る」という諺のようなものです.似たような諺で「女器量良くして玉の輿に乗り,男意気地(いくじ)無くして飴や粔籹(おこし)を売る」というものもありますが,さすがに長過ぎるので,今回は前者から作成することにします.
2) この文をローマ字および数字に置き換えます.on7uji794tetamano542noruと言った具合です.(数字への置き換えはお好きなようになさってください.)
3) 使用されているラテン文字を大文字と小文字に交互に置き換えて,On7UjI794tEtaMaNo542NoRuと言った文字列に変えます.
4) こうしてできあがった文字列を(カット&ペーストなどして)ランダムに置き換えます.(面倒な場合は,2)の段階でエクセルのセルに一文字ずつ入れておいて,RAND関数を使ってもよいでしょう.)このとき,さらに慎重を期するのであれば,大文字の連続,小文字の連続,数字の連続を避けるために,必要に応じて大文字と小文字を入れ替えます.
例えば,MuJi2N79aNo74oRutEtOaN54などという具合です.
5) 最後に,もし記号の使用が許されている場合は,4) で得られたものに適当に記号を挿入しますが,数字が連続している場合,できるだけその間に挿入するようにします.
MuJi2N7#9aNo7&4oRutEtOaN5!4
長過ぎる場合は,好きな部分を抽出して使いますが,その際,必ず大文字と小文字,そして数字と記号を含む部分を抽出してください.
なお,利用している各サイトごとに異なるパスワードを使用すること,そして,それらを定期的に変更することもお忘れなく.また,銀行によってはオンラインバンキングサイト用にワンタイムパスワードを提供してくれる場合もありますので,確認されることをお薦めします.また,個人的に使用していますが,Googleなどの二段階認証方式も実質的にワンタイムパスワード認証に近い方式と言えます.
以上,ご参考になれば幸いです.
4月10日付シュピーゲルの"Internet-Sicherheitslücke: Deutscher programmierte Heartbleed-Fehler"は,この脆弱性の原因となったコードはドイツ人プログラマーによって書かれたものと伝えました.また,このプログラマーの名前をツィッター上で公表したハッカーでブロガーのFelix von Leitner氏は,彼は意図的に問題となるコードを書き込んだ可能性もあり,その場合,どこかの情報機関の指示によったものかもしれないと述べています.しかし,名指しされたプログラマー自身(Robin S.氏)は,シュピーゲルからの質問に対し,自分は確かにオープンSSLのコード作成に関わった,その際,複数のバグフィックス(修正プログラム)を作成したり,また新たな機能を追加したりしたもののそれらは何度も検証して問題のないことを確認していると回答したそうです.
そして,シュピーゲルの同じく"Heartbleed-Sicherheitslücke: Diese Passwörter müssen Sie jetzt ändern"には,以下のサイトの運営者はそれぞれのサーバーにおける脆弱性の修正が完了したと報告しており,利用する際の安全性を確保するためにパスワードを変更する必要があると書かれてあります.
- Dropbox
- SoundCloud
- Tumblr
- Web.de
- Yahoo
- Tumblr
- Twitter (恐らく修正済)
- Amazon Web Services(Amazon.comを除く)
- Dropbox
- Box
冒頭で紹介したオブザーバーの9日付"Faille de sécurité : faut-il avoir peur du grand méchant Heartbleed ?" も当該の脆弱性に対する安全性を確保する確実な方法として,やはり,利用するサイトが当該の脆弱性を持っているかどうかを確認し,問題がないことが判明したらパスワードを変えることを推奨しています.なお,この確認は,過去のポストで紹介したFilippo Valsorda氏が作成したサイトを 使っても行うことができますが,同氏は,それで得られた結果も100%確実であるとは限らないと述べています.加えて,管理者が自らのサイトのサーバーのオープンSSLが当該の脆弱性を持ったバージョンであることを知りつつ,攻撃や侵入をしかけてくるハッカーたちを特定するために問題のあるバージョンを意図的に維持する可能性についても言及しています.
何しろ,FBIのサイトですら影響を受けた可能性が取り沙汰されているので止むを得ませんが,迷惑な話です.(仕方がないので,とりあえず通信販売を利用しているYahooからパスワードを変えようと思います.それから,念のために銀行やクレジットカード会社のサイトで使っているものも.面倒なことおびただしいですが.でも,定期的に変えることが推奨されているのでよい機会かもしれません.しかし,これまでデパート等で「年会費無料で,安くお買い物ができますから」などと勧誘されるたびについ作ってしまい大半が殆ど使っていないクレジットカードですが,必要以上に持っているのは危険だと改めて気づかされました.使っていないといっても,もし過去に一度でも使っていたら,その情報は漏洩している可能性があるわけですから.)
心配になったので,今,試しに口座を持っているみずほ銀行のオンラインバンキングのサイトを調べてみたところ,下の結果(修正されたこと,あるいは脆弱性は存在していないこと)が示されたので,面倒ですがパスワードを変更することにします.(なお,上記のFilippo Valsorda氏のサイトに入力するURLはログイン画面など,httpsで始まるSSLで保護されたサイトのものである必要があります.)
関連記事:ル・モンド4月12日付"Faille Heartbleed : les sites pour lesquels il est conseillé de changer son mot de passe".
付録 見破られにくいパスワードのつくりかた
まず初めに覚えておかなければならないことは,どんなパスワードでも理論的に時間さえかければ必ず見破られてしまうということです.問題は,その時間をどれだけ引き延ばすかということです.つまり,数分,あるいは数時間程度で見破られてしまうものであれば,ハッカー側でも採算が合うかもしれませんが,これが数年,数十年かかるとしたら,到底採算に合わないでしょうし,さらに,数百年かかるとしたら,ハッカー自身見破った時点で確実にこの世にはいないので無意味な行為とあきらめるでしょう.そんなパスワードを作る方法の一例をご紹介します.
1) 何でも良いので,文字列(文)を見つけるか,あるいは作ります.言うまでもありませんが,文字数の制限内におおよそ収まりそうな文字列です.そして,慎重を期したいのであれば,日本人でもあまり知らないような文を選びます.
例えば,「女氏無くして玉の輿に乗る」という諺のようなものです.似たような諺で「女器量良くして玉の輿に乗り,男意気地(いくじ)無くして飴や粔籹(おこし)を売る」というものもありますが,さすがに長過ぎるので,今回は前者から作成することにします.
2) この文をローマ字および数字に置き換えます.on7uji794tetamano542noruと言った具合です.(数字への置き換えはお好きなようになさってください.)
3) 使用されているラテン文字を大文字と小文字に交互に置き換えて,On7UjI794tEtaMaNo542NoRuと言った文字列に変えます.
4) こうしてできあがった文字列を(カット&ペーストなどして)ランダムに置き換えます.(面倒な場合は,2)の段階でエクセルのセルに一文字ずつ入れておいて,RAND関数を使ってもよいでしょう.)このとき,さらに慎重を期するのであれば,大文字の連続,小文字の連続,数字の連続を避けるために,必要に応じて大文字と小文字を入れ替えます.
例えば,MuJi2N79aNo74oRutEtOaN54などという具合です.
5) 最後に,もし記号の使用が許されている場合は,4) で得られたものに適当に記号を挿入しますが,数字が連続している場合,できるだけその間に挿入するようにします.
MuJi2N7#9aNo7&4oRutEtOaN5!4
長過ぎる場合は,好きな部分を抽出して使いますが,その際,必ず大文字と小文字,そして数字と記号を含む部分を抽出してください.
なお,利用している各サイトごとに異なるパスワードを使用すること,そして,それらを定期的に変更することもお忘れなく.また,銀行によってはオンラインバンキングサイト用にワンタイムパスワードを提供してくれる場合もありますので,確認されることをお薦めします.また,個人的に使用していますが,Googleなどの二段階認証方式も実質的にワンタイムパスワード認証に近い方式と言えます.
以上,ご参考になれば幸いです.
No comments:
Post a Comment