4月7日に発表されたOpenSSLについて お問い合わせが頻繁にあるのでちょっとまとめておきます。
*まずはさまざまなサイトのパスワードの変更をお願いします。くれぐれも短いパスワードや簡単なパスワードにしないようにお願いします。
すぐにパスワード変更したほうが良いサイト
facebook
Amazon
Google
Twitter
Yahoo!
LastPass など
Eコマースサイトやパスワードアプリは早急に変えましょう!
冷静な対応をすればそれで大丈夫です!
楽天や決済会社のように、独自のシステム開発・OSから開発をしているところは、今回の件は心配ありません。
特に、広く使われているApache+OpenSSLは、安く簡単にシステム開発できるのがメリットですが、今回のような事件では逆に仇になってしまいます。
OpenSSLは、SSLサーバ証明書を発行するためのCSRを生成する時からすでに使います。SSL会社でさえOpenSSLを使うようなマニュアルを出しているところもあるぐらい、普通に使っています。
OpenSSLのDr Seggelmannさんは改善パッチを当てたらそこにミスが有ったということで、良かれと思った改善パッチに初心者のようなミスをしてしまっただけです。
ただ、ハッカーや米国はそれを知っていたのでは無いか?という噂も飛び交っています。
ハッカーの大半はパスワードを盗んでお金を取ることよりも自分の腕前を見せたい愉快犯です。今回の場合には2年間と言う長い期間ですのでどういう影響が出るのか?わかりません。
とにかくパスワード変更(しかも長くて英小文字・大文字・数字は必須ですね。)
ミドルウェアの改善パッチはしょっちゅうアップデートされていて、ただそれが本当にいいのかどうかは正直よくわかりません。
システム開発会社からすれば、自分たちのプログラムに影響がないかは調べますが、改善パッチのレビューは当然ながら出来ません。
ですので信用するしか無いというのが現状かと思います。
大規模なシステムになればなるほど、影響範囲は大きくてどこにどう当てているか、はっきりわかっているシステムってかなりごくわずかだと思います。
プログラムって芸術だと私は思っているので作る人によって性格が出ます。
安いシステムを選ぶ、無料のシステムを選ぶというのは、結果的にOSやミドルウェアを無料のサービスを使うことになると思います。
セキュリティのテストだけで一番安いところでもリリース時に180万円、定期検診で安くて350万円ぐらいかかりますから、値段が安いところというのはセキュリティのテストすらやっていない可能性は非常に高いです。
私がネットショップさんで一番危惧しているのは、FTPです。FTPはセキュリティが非常に甘いです。
FTPを使っているパソコンのセキュリティは、必ずOSやソフトのアップデートはもちろん、セキュリティを高めておく必要があります。
辞めたパートさんやアルバイト君、SOHOさんでFTPを家で使っている場合のセキュリティチェックが出来ない場合なんかは非常に怖いです。
そもそも今、このような状況でFTPをOKにするシステムは私からすればあり得ないと思います。
今回の件で、まずは必要なのはパスワード変更です。
そして、定期的なパスワード変更、セキュリティに対する意識アップ、そして自分の周りの方々のセキュリティ意識を高める教育。これが必要です。
システム開発会社を責めたところで、今回のような問題はなかなか防ぐことが出来ません。
また、セキュリティは無料ではありません。
自分を守るには、ある程度費用を払って守るしか無いのです。
