インターネットで使われる鍵(カギ)
みなさん、こんにちは!
こんなニュースが発表され、世界に衝撃を与えています。
↓
Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは « WIRED.jp
コンピュータ関係者は大騒ぎですが、ボクたち一般人はどうすればいいのでしょうか?
コンピュータに詳しくない人に、なるべくわかりやすく書いてみます。
まず、インターネットのいろんなサービスを利用するにはIDとパスワードが必要ですよね。
例えば、Amazonや楽天市場で買物をするには、Amazonや楽天市場のIDとパスワードを入力する必要があります。
どちらかが欠けても買い物はできません。
あなた以外の第三者があなたのIDを知ったとしてもパスワードがわからなければ、あなたの名前で勝手に買い物をすることはできないわけです。
これによって安全が守られているわけですね。
でも、インターネットという通信の信号を読み取られる危険性もあります。
信号を読み取られてパスワードが漏れる危険は無いのでしょうか?
実は通信は暗号化されていて、暗号を解くためには鍵が必要です。
なので鍵を手に入れない限りは信号を読み取られる心配はありません。
この鍵はコンピュータのプログラムでできています。
あなたの家を思い出してください。
第三者に家の場所がばれたとしても、家に入るには鍵が必要ですよね。
鍵は自分で作らない人が大半
ところで、あなたは自分の家の鍵を自分で作るでしょうか?
違いますよね。
そんな事は普通の人にはできません。
そんな事をしたら大きなコストと時間がかかりますし技術的にも大変です。
なので、普通は、鍵メーカーの鍵を購入して取り付けます。
積水ハウスやパナホームなどの住宅メーカーも自社で鍵を作っているわけではなくて、鍵メーカーの鍵を建物に取り付けているのです。
インターネットの鍵も同じで、ホームページを作っている人たちがみんな自分で鍵を作っているわけではありません。
鍵を作る専門家がいて、その人が作った鍵を自分のホームページに設置しているのです。
その方が自分で作るよりもはるかに安上がりで簡単で時間も短縮できるからです。
インターネットの鍵の技術にはいくつかあるんですが、世界で一番有名なのが、OpenSSLという名前の技術です。
これは実は特定の企業が作ったものではなく、わかりやすく言えば、ボランティアのような人たちが作ったモノです。
ボランティアさんが作って、誰でも使って良いですよと言って公開してるんです。
なので世界の多くのホームページで使われています。
GoogleやYahoo!などの大企業や銀行などの金融機関のホームページでも使われています。
世界のホームページの7割近くで使われているのでは無いかと言われているくらい有名です。
鍵に穴が空いていた
このOpenSSLのおかげで、世界中の人たちは、ショッピングサイトや金融機関と安心してネットで買い物したり送金したりできるわけです。
ところが、このOpenSSLに実は不具合があって小さな穴が空いている事が判明しました。
判明したのは2014年の4月8日ですが、穴が空いていたのは2年も前からです。
つまり、2年もの間、鍵に穴が空いている事にほとんどの人が気づかず、今年の4月8日にやっと気づいた人が発表したわけです。
鍵に穴が空いていると何が問題か
鍵に穴が空いているだけでは一般の人にとっては何もできないんですが、ある技術を持っている人にとっては犯罪に使える事を意味します。
ふたたびあなたの家を考えてください。
あなたの家の鍵に穴が空いているとします。
その穴から盗撮用のカメラを差し込んであなたの家の中を盗み撮りされたらどうでしょうか?
例えば、あなたの家の中にIDとパスワードをメモした紙が置いてあったとしたら?
盗撮犯はそのIDとパスワードを隠し撮りすることができます。
すると他のパソコンから簡単にあなたになりすましてネットショップで買い物ができてしまったりします。
もちろん請求はあなたに行きます。
鍵穴から盗撮カメラを差し込んだだけなので、犯行の形跡はいっさい残りません。
実は、今回のOpenSSLの穴はこれとまったく同じ事なんです。
GoogleやYahoo!を始め世界の数多くのホームページにOpenSSLという鍵が使われていて、その鍵に穴が空いていた。
のぞき見をできる技術がある人(ハッカーと言います)は、そういう穴から、あなたのIDやパスワード、クレジットカード番号などをのぞき見ることができる状態になっていました。
そういう状態が2年も前から続いていました。
2年も前から続いてたんですが、犯行の痕跡が何も残らないので犯行が行われたかどうかもわからないのです。
今あわてて対応すると危ないケースも
世界中の多くのサイトでOpenSSLが使われている事から、世界中で大騒ぎで対応に追われています。
もちろん穴をふさぐ作業です。
でもホームページを持っている企業側だけの対応では不十分です。
ユーザーであるあなたも対応する必要があります。
一番やるべきことは、パスワードの変更ですね。
犯行の痕跡が残らないので、あなたのパスワードが盗み見られたかどうかは誰にもわかりません。
でも万が一、盗み見られてしまったとしたら、あなたのIDとパスワードを使って勝手に買い物をされたりオカネを送金されてしまうかもしれません。
もしかしらた、すでに行われているかもしれません。
なので、念の為にパスワードを変更しておいたほうが良いです。
パスワードを変更すれば、ハッカーが盗み見たパスワードはもう使えませんからね。
ただし!
ここでも注意点があります。
もしあなたが利用しているサイトが、まだ不具合に対応していない場合は、鍵に穴が開き続けている状態です。
その状態でいくらパスワードを変更しても、変更後のパスワードをまたのぞき見られる可能性があります。
パスワードを変更したから、もう安心、と思ってしまうと、かえって危険ですよね。
あなたが利用しているサイトが不具合を修正してからパスワードを変更するのが最善です。
こんなふうに、ネット上に情報があるので、随時チェックするのが良さそうです。
↓
Facebook、Google、Yahoo!などなどのパスワード、変更しないとマズイらしいです | TABROID(タブロイド)
あるいは、あなたが利用しているサイトに、修正済みかどうかを問い合わせるのもアリですね。
Evernoteのように、OpenSSLを使っていないサイトもあり、その場合は対応は不要です。
ひとつひとつ確認するのは大変です。
大変なので、今回の不具合の発覚が世界中の多くの人に影響を与えているのです。
パスワードを変更しても残る問題
残念なことに、パスワードを変更しても残る問題があります。
例えば、あなたのクレジットカード番号がすでに盗み見られてしまっている場合です。
鍵穴を塞いだのなら、今後はのぞき見られる心配は無いでしょうが、すでに知られてしまったクレジットカード番号はどうしようもありません。
クレジットカード自体を他のカードに変更するという手段も考えられますが大変ですよね。
なので、毎月のクレジットカードの請求内容をきちんとチェックして、あなたの身に覚えのない金額が含まれていないかどうか確認する必要があります。
犯罪被害によるクレジットカードの利用は免責されるでしょうが、それにはきちんと自己申告が必要だからです。
知らないうちに知らない買い物に利用されていることの無いように注意しましょう。
関連記事
身に覚えは無いですか?こういう登録をさせるサイトはとても危険という話 - 非天マザー
パスワードを定期的に変更するよりも、このほうが大事 - 非天マザー
Googleユーザー必読!2段階認証をオンにして安全性アップ 前編 - 非天マザー
Googleユーザー必読!2段階認証をオンにして安全性アップ 中編 - 非天マザー
Googleユーザー必読!2段階認証をオンにして安全性アップ 後編 - 非天マザー
この記事が役に立ったと思った人はFacebookの「いいね!」やTwitterのリツイート、はてなブックマークをよろしくお願いします。