2014年5月18日日曜日

【技術情報】Firestorm 4.6.5.40833リリースとHeartbleedのこと

ご無沙汰しております。ヒロシです。

皆さんもご存じのように、
先週末にFirestormの新しいリリースがありました。
4.6.5の正式リリースが3月12日のことでしたから、
このチームにしてはえらく早いリリースですね。

この新しい4.6.5.40833がリリースされる3日ほど前、
開発者として名前を連ねている僕のところにも評価版が届き、
品質評価の最終段階ですのでチェックよろしく、とのこと。
そうだ、まだ日本語の翻訳ができてないところあるので、
この機会に対応できるところまで対応するか、
と作業を始めたところ、あっという間にリリースされたので、
参った! という感じでした。
すみません、今作業している分は次のリリースまでお待ち下さい。

ところで、今回どうしてそんなにリリースを急ぐ必要があったのか、
主な対応内容の一覧をチェックしていて気づいたのは、
その3番目にOpenSSL 1.0.1gへの更新が
しれっと含まれていたことですね。
恐らくは、ユーザーの不安を取り除くためにも、
この対応を急いだのではないかと思います。

     *   *   *

OpenSSL 1.0.1gへの更新と聞いてピンと来ない人もいるでしょう。
Heartbleedと言えば、あ、と思う人もいるかも。
実はこれ、今インターネット上で大問題になってることなんです。
心臓からの大量出血という、恐ろしい名前ですね。

OpenSSLというのは、セキュリティを高めるためのプログラムで、
ユーザーIDとパスワードで保護されている
多くのサイトで使われています。
http://で始まるサイトでログインすると
URLがhttps://に変わる、あれです。
つまり、Googleや Facebook等から始まり、
インターネットバンキングやECサイト等で使われているので、
その影響範囲が大きいのです。

問題は、このOpenSSLの機能拡張Heartbeatのメモリ処理に
重大な脆弱性があって、つまりは、やりとりしている情報は
個人情報でも暗号鍵の情報でも盗み放題の状態だった、
しかもその危険が何年間も放置されていた、ということにあります。
更に、きちんとした処理がされていれば、
例えばそうした情報の盗難がいつ行われたか記録されるのですが、
そうした記録が全くない状態、
つまり、サーバ管理者の側でも、盗難があったのかなかったのか、
さっぱりわからないというのです。

個人情報漏洩の事件はあちこちで起きていますので、
ある意味そう驚くべきことではありませんが、
問題を大きくしているのが、この脆弱性によって、
サイトの証明書が盗まれ、悪用された場合のことなんです。

最近銀行でもニセサイト(フィッシングサイト)への誘導に
気をつけるようによく警告や注意が出ています。
曰く、アドレスバーに出ているURLをよく確認して下さい、と。
以前、Twitterアカウントの乗っ取りが流行した時、
私も危うく引っかかりそうになったのですが、
たまたま見えたURLが「tvvitter.com」で、
「あれ? wがえらく太いな?」と思って気づいたのでした。
普通はこういう方法でURLを確認してチェックできるのですが。。。

サイトの証明書が盗まれて、それを使われてしまうとやっかいです。
たとえ、実際には「tvvitter.com」というサイトでも、
「ここは本物ですよ」という証明書を持っているわけですから、
私たちのブラウザには「twitter.com」と表示されてしまうのです。
これでは本物かニセモノか、ユーザーには絶対に区別つきません。
どんなに恐ろしいことが起こっているかおわかりになったでしょうか。

そこで、OpenSSLを利用したサイトの管理者や
プログラムの開発元には、この脆弱性への対応が求められています。
具体的には、この対策をしたOpenSSLの最新版、
1.0.1gに更新すること、
もう一つは、それまで使用していた証明書を無効にして
新しい証明書を発行することです。
新しい証明書を発行しないと、盗まれた証明書が利用可能ですので、
何の問題の解決にもならないのですが、
証明書の更新をしていないところがまだまだ多いという紀事が
数日前に出ていましたので、まだまだ要注意という感じですね。

一方、ユーザー側に求められるのは、
こうしたサイトでのパスワード変更などですが、
注意したいのは、そのサイトの対応が終わってから行うこと。
対応が終わっていなければ、まだ盗まれる危険性があるわけですから。
ご自身が使用されているサイトやプログラムが対応済か、
一度調べてみてから対策されることをお勧めします。

そこでSecond Lifeのサイトとビューワ、
そしてFirestormについてですが、
何れもこの問題の影響は受けていないとのこと。
但し、他の影響あるサイトと同じパスワードを使っていると
盗まれる可能性があるわけですから、
そのような方はSLのパスワードを変更するようにとのことです。
Firestormが最新のOpen SSL 1.0.1gに更新したのは、
うちはちゃんと対策やってるよ、というアピールなんでしょうね。

No response to “【技術情報】Firestorm 4.6.5.40833リリースとHeartbleedのこと”

Leave a Reply