HOME情報セキュリティOpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

本文を印刷する

情報セキュリティ

OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

最終更新日:2014年4月16日

※追記・改訂すべき情報がある場合には、その都度このページを更新する予定です。

概要

ウェブサイト上でのショッピングや金融取引における通信は一般に、SSL と呼ばれる方式で暗号化されています。この SSL を実現するソフトウェアの一つである OpenSSL に、情報漏えいの脆弱性が発見されました。https でアクセスできるウェブサイトは、この脆弱性の影響を受け、ウェブサイトから情報が漏えいする可能性があります。


図:脆弱性および、脆弱性から想定可能な影響のイメージ

漏えいした情報が悪用された結果、上図のような影響が生じる可能性があります。連鎖被害を防ぐために、下表のような対策をとることが推奨されます。

直接被害 派生(連鎖)被害 対策
ウェブサイト運営者 ウェブサイト利用者(一般ユーザ)
詳細は次節[ウェブサイト利用者(一般ユーザ)としての対応]参照
サイト秘密鍵の漏えい
  • 見分けがつかない偽サイトを作られる
  • サイトと利用者間の暗号通信を解読される

  • 利用者情報(パスワードなど)の漏えい

[想定被害1]を参照

  • 脆弱性の解消
  • 証明書の再設定
  • 利用者へのアナウンス(証明書更新のお知らせ)
  • (1) ウェブサイトの対応状況を確認する
  • (2) 証明書の失効確認を有効にする(ウェブブラウザの設定)
利用者パスワードの漏えい
  • 攻撃者が利用者になりすましログイン
  • なりすまし購入による金銭被害

[想定被害2]を参照

  • 脆弱性の解消
  • 利用者へのアナウンス(パスワード変更の呼びかけ)
  • (1) ウェブサイトの対応状況を確認する
  • (3) ウェブサイト運営者からの指示に従う(パスワードの変更)

既に、当該脆弱性を狙った攻撃から被害も生じ始めており、ウェブサイト運営者は早急に対応を進める必要があります。ウェブサイト利用者は、運営者の対応を待つ必要がありますが、運営者の対応後には利用者としての対応が必要になることがあります。

ウェブサイト利用者(一般ユーザ)としての対応

(1) ウェブサイトの対応状況を確認する

ショッピングサイトや銀行サイトなど、重要な取引をするウェブサイトを使う際には、ログインする前に、そのウェブサイトでの OpenSSL の脆弱性への対応状況を確認してください。

  • [お知らせ]などの形でアナウンスがある場合には、それを参照してください。
  • ウェブサイト上に告知が見当たらない場合は、メールや電話等でウェブサイトに確認してください。

なお、ウェブサイトからメールでのアナウンスを受けた場合、そのメールのみを信用することは避けてください。これは、メールのみでは通常、本物のウェブサイトからの連絡かどうかを区別できないためです。メール内のリンクではなく、ブックマークや検索エンジンからウェブサイトにアクセスし、同じ内容のアナウンスがあることを確認してください。

(2) 証明書の失効確認を有効にする(ウェブブラウザの設定)

ウェブサイト運営者は対策の一環として、ウェブサイトの証明書を失効することがあります。証明書が失効した事実を、利用者側で知らないままでいると、偽サイトにアクセスしても見分けられない可能性があるため、確認が必要です。証明書の失効確認は、ウェブブラウザを設定すれば、以後自動的に行うことができるため、ウェブブラウザの設定画面を開き、失効確認をするよう設定してください。

(3) ウェブサイト運営者からの指示に従う

確認した情報の中に、ウェブサイト運営者から利用者への指示があれば、それに従ってください。利用者に指示される可能性がある対応には、たとえば次のようなものがあります。

  • パスワードを変更すること。

指示について不明な点があるときは、ウェブサイト運営者に確認してください。

なおパスワードの変更は、ウェブサイト側の脆弱性対応が完了したことを確認してから行ってください。ウェブサイトに脆弱性が残ったままパスワードを変更しても、変更後のパスワードを盗まれる可能性が残ります。

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2014年4月16日 掲載