被害額の見えないハートブリード
ハートブリード
Heartbreed
心臓出血
ブラウザ利用時のOpenSSLは安全なやり取りを保障する通信方式だったが、SSLサーバーの初期プロセスのハートビート処理(チャレンジレスポンス習性?)を利用したバッファ情報の抜き取りを行なうのがハートブリードの手口。個人情報や鍵情報まで抜き取られる。
ハートビート処理中にデータの送り込みをサーバーが受けると、サーバーは送り返すデータがないためにバッファー上のデータを送り返す欠陥がある。多くの企業は既に脆弱性対策を実施済みだと思われる。
問題は、果たして自分の企業あるいは顧客は被害を受けたかどうかがまるで分からないことだ。
悪意の人が十分時間を置いてから本に成りすましたりすれば、犯罪が行なわれても原因を特定しにくくなる。
今、簡単に出来る対策は、犯人がIDパスワードを使う前に、パスワードを別のもっと安全なものに変更してしまうことだ。
(1)全くニューのパスワードにすること。(過去のパスワードは使わない)
(2)サイト毎に返ること。 (同じパスワードを使わない)
(3)覚えのないID利用がないか、メール通知、SNS記事、ポイント残高、クレカ利用などをチェックする。
.*.
ISMS施策
<運用者として直ぐやること>
- 運用しているオープンSSL利用サーバーを至急更新する。
- ログデータの確保。ログの保管期間が短く設定している企業ではログ廃棄を一旦停止する。ミニマム2年間、できれば10年保管。
- 利用者への注意喚起。特に、不正利用の有無についての注意、及び気付いたことの報告。問い合わせメニューに追加する。
- 外部の被害状況に対する情報収集体制の見直し。
- オープンSSLの脆弱性の報告が最初にされてから、実際に管理しているサーバーに対策が実施されるまでに掛かった時間の妥当性レビュー。脆弱性検知と対応力を定量的定性的に評価する。
- 真っ先にやるのはパスワード変更。⇒業務上アクセスしている先は必須。ISMS事務局はパスワード変更済みの確認フォローまで実施すること。
- ID変更も可能なら、IDも変更する。
- 不正アクセスの疑い事例についてのチェックと報告。
- 不正アクセスの疑い事例についての監視要請。
- 社員のプライバシーが晒されると企業までも悪影響を受けるのはよくあることだ。あんな馬鹿な社員が勤める企業の商品は買いたくないとなる。プライベートであれ、注意喚起は当然。
- ビジネスパートナーが脆弱では事業継続性に問題を残す。注意喚起と可能なら結果のフォローまで実施すること。
この問題は既にニュースその他で広く知られていることだ。その意味することは、出遅れたハッカーグループもハッキング技術検証のためにハートブリード攻撃を始めるということです。今まで以上に飛躍的に多くの攻撃が開始されます。
対策が遅れているサイトはひとたまりもありません。
対策が遅れていたら社会的責任は免れません。サーバーに対策が一晩で出来ないならサーバーを止めることです。対策しないで運用を続けたら、目隠しして街中を全速力で運転しているのと同じことです。 事故が起きて当然。サーバーを運用する企業側が犯罪者になります。
.*.
