「OpenSSL」脆弱性に対し、一般ユーザーができることは？……IPAが指南

　情報処理推進機構（IPA）は4月16日、「OpenSSL」の脆弱性に対して、ウェブサイト利用者（一般ユーザ）が行うべき対策を取りまとめた情報を公開した。

　ネットショッピングサイトや金融取引サイトなど、httpsでアクセスできるウェブサイトとの通信は、「SSL」と呼ばれる方式で暗号化されていることが多い。このSSLを実現するソフトウェアの一つが「OpenSSL」だが、通称「Heartbleed」と呼ばれる問題が最近発見され、情報が漏えいする可能性があることが判明した。すでに悪用した攻撃も増加しつつある。

　OpenSSLを利用しているサイト運営者側には、最新版への移行などの対策が呼びかけられているが、一般ユーザーに対しては、どのような対処が必要かは、まだまだ啓蒙が進んでいないのが現状だ。今回のIPAの情報は、基本的な対処を取りまとめたものとなる。

　それによるとウェブサイト利用者は、まずは運営者の対応を待つ必要があるが、運営者の対応後には利用者としての対応が必要になることがあるとしている。項目としては「ウェブサイトの対応状況を確認する」「証明書の失効確認を有効にする（ウェブブラウザの設定）」「ウェブサイト運営者からの指示に従う」の3点があげられている。

　具体的には、重要な取引をするウェブサイトを使う際には、ログインする前に、［お知らせ］などのアナウンスをチェックして、OpenSSLの脆弱性への対応状況を確認する必要がある。スパムメールによるフィッシングもあるので、メール内のリンクではなく、ブックマークや検索エンジンからウェブサイトにアクセスし、同じ内容のアナウンスがあることを確認することが推奨されている。

　また、ウェブサイト運営者が対策として、ウェブサイトの証明書を失効することがある。証明書が失効した事実を利用者側で知らないままでいると、偽サイトにアクセスしても見分けられない可能性があるため、ウェブブラウザの設定画面で、失効確認を行うように設定しておく必要がある。

　さらに、ウェブサイト運営者からパスワード変更などの要望があった場合、それに従うようにすることが重要となる。

　現在IPA以外にも、JPCERTコーディネーションセンター(JPCERT/CC)、総務省、警察庁なども、「OpenSSL」の脆弱性に対して注意を呼びかけるとともに、さまざまな情報を公開中だ。