OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も

パスワードの変更を促すリンク付きの詐欺メールが出回るなど、騒ぎに便乗する動きが浮上。各国の政府機関が利用していたのではないかといった憶測も飛び交っている。

» 2014年04月11日 07時38分 公開
[鈴木聖子,ITmedia]

 オープンソースのSSL/TLS実装「OpenSSL」の脆弱性発覚で秘密鍵やパスワードなどの情報流出が危惧される中、パスワード変更の呼び掛けを装った詐欺メールや偽の脆弱性チェックサイトなど、騒ぎに便乗した攻撃の危険性も浮上している。

 米SANS Internet Storm Centerは4月10日、正規の業者を装って、エンドユーザーにパスワードの変更を促すリンク付きの詐欺メールが出回っていると伝えた。こうしたメールのリンクを不用意にクリックすると、マルウェアに感染したり、だまされて入力したパスワードなどの情報を盗まれたりする恐れがある。

 厄介なことに、正規の業者もこの問題に関して注意を促すメールを送信している。SANSの研究者は、自身に届いた正規メールにリンクが掲載されていたことを問題視して、「これは大きな間違いだ」と指摘。「助けになりそうなリンク付きのメールの大部分は助けにならない。リンクをクリックしてはいけない」とエンドユーザーに呼び掛けている。

 この他にも、脆弱性の有無を確認できるWebサイトに見せかけて、マルウェアに感染させる偽サイトなども出現が予想されるとSANSは警告する。

 今回の脆弱性では攻撃を受けたとしても痕跡が残らず、情報が流出したかどうかを確認できる手段がない。従ってユーザーが念のためにパスワードを変更するのは有効な対策ではある。

 ただ、セキュリティ企業のSophosは4月10日のブログで、「慌てて自分の使っている全サイトのパスワードを変更したりはしない方がいい」と指摘した。

 同社によると、もしWebサイト側が対応を済ませる前にユーザーがパスワードを変更してしまえば、その新しいパスワードも盗まれる恐れがある。このため「サイト側が対応を済ませたと発表するなど脆弱性が解決されたことを確認できるまで待った方がいい」とSophosは助言している。

 この問題を巡っては、OpenSSLの脆弱性が2011年12月から存在していたことが分かっており、一部報道では2013年11月の時点で悪用を探る動きがあったとも伝えられる。

 米国家安全保障局(NSA)など各国の政府機関が監視や情報収集活動にこの脆弱性を使っていたのではないかとの憶測や、脆弱性が実は意図的に導入されたのではないかといった陰謀説まで飛び交っている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ