オープンSSLの欠陥と東電の脆弱性に見る安全神話の崩壊とは?

SNSのシェアはこちらから!

オープンSSLの欠陥と東電の脆弱性に見る安全神話の崩壊とは?medium_13761119695
どうも!Marcoです。

居ながらにして買い物のできるインターネットでのショッピング。
あまりに便利なので、余計なものまで買ってしまうという人も多いのではないのでしょうか?
カード払いなら、クリックするだけで決済でき、あとは商品が届くのを待つだけ・・・


なのですが、その決済の仕組みにも利用されている OPEN SSL という技術に重大な欠陥があるというニュースです。
その欠陥とは、通信相手を確認するための機能(HeartBeat:ハートビート)が原因となっているため「Heartbleed:心臓出血」と呼ばれているそうです。

このエントリーでは、「絶対に安全」と言われてきたオープンSSLと、同じく「絶対爆発しない」と言って史上最悪のレベル7の原子力災害をおこし、いまだに対応に苦しむ東京電力の「安全神話」について見ていきます。


スポンサーリンク
スポンサーリンク

SSLに欠陥!?日本でも徐々に被害が

元々はカナダやイギリスで確認されたこの欠陥ですが、日本でも徐々に影響が出始めているようです。
正確には調べてみて影響があることがやっと分かったということみたい。


これは他人事では済まないかもしれません。
だって、いままでSSL認証されているサイトは「安全」「セキュア」と思わされてきましたからね。

オープンSSLの欠陥攻撃、1週間で4万件超

警察庁は15日、インターネットショッピングなどで利用されている暗号化ソフト「オープンSSL」の欠陥を狙ったとみられる攻撃を、9日からの1週間で計4万4534件確認したと発表した。

攻撃は11日夜以降に急増しており、1時間に5000件を超えた時間帯もあった。ネット上でカード決済などをした利用者の氏名や住所、パスワードなどが攻撃者に盗み取られる恐れがあり、同庁は、ソフトを利用する企業に最新版へのアップデートを呼びかけている。

2014年04月15日 Yomiuri ONLINE より転載


詳細な説明はこちらのサイトなどが参考になります。
西本逸郎のIT社会サバイバル術 – OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ:ITpro
西本逸郎のIT社会サバイバル術



このサイトの中では一般消費者の対応について、次のように注意を呼び掛けています。

一般ユーザーはあわてる必要はないが、利用しているサイトから公開される情報をチェックしよう。特にオンラインバンキングやクレジットカードなどの金銭に直結するサイトの状況は確認したい。

 次に確認しておきたいのは、利用しているメールやソーシャルメディア、ショッピングサイトなどである。サイトからの告知情報を確認してその指示に従って対応を進めるべきだが、注意すべきはこの騒動に便乗した偽物メールなどが出回る恐れがあること。メールやメッセージで来た内容を鵜呑みにして書かれているリンクをクリックするのではなく、自ら当該サイトを訪れて対応方法に関して確認するなど、「裏を取る」行動を心掛けてほしい。これは「振り込め詐欺」などへの対抗と同様である。


便利になって多くの人が集まり、そしてお金が動く所には、決まってそれに便乗して良からぬことを考える人も集まってきます。


今回、こうしたシステムの脆弱性が明らかになると、その穴をついて攻撃を仕掛け、情報を盗んだり、誤操作させたり、システムを停止させたりという、社会不安を煽るような行為が顕在化してきます。

迷惑なことですが、これが当たり前の世の中なんですね。



汚染水の誤移送?誰が何のため?

この「システムの脆弱性をついた攻撃」と同じようなことが、政府によって完全にコントロールされているはずの東京電力福島第一原発で起きている事はご存知でしょうか?

medium_7557181168

故意? ミス? 相次ぐ汚染水誤流入 無施錠、監視カメラなく 東電甘い管理

14日に発覚した東京電力福島第1原発でポンプが誤作動し、約203トンの高濃度汚染水が本来流れ込むはずのない建屋へ流入した問題は、操作ミスや故意にポンプが動かされた可能性が浮上している。2月にも地上タンクの弁が何者かによって開けられ汚染水が漏(ろう)洩(えい)しており、不可解なトラブルの続発に謎が深まるが、東電の管理体制の甘さも問題視されている。

2014.4.16 Sankei Biz より転載


今年2月に汚染水が漏れた事故の時は、誰かが人為的に開閉弁を操作したことが疑われましたが、結局犯人は判らずじまいでした。

そしてまた今回の事故。

現場はベテランの多くがいなくなり、作業の手順もままならないと言う話も聞きます。
施錠管理や監視カメラなどの抑止力もない現場では、先の「Heartbleed:心臓出血」と同じように、その脆弱性をついて、攻撃をしかけて混乱をおこすようなことがないとは言い切れません。

大きな事故となる前に早急な対応が求められています。


しかし、身内からはこんな訴えも出ています。

東電VS社員:原発ADRが泥沼化

福島第1原発事故の賠償を巡り、東京電力が先月26日までの1カ月間で新たに6件、国の原子力損害賠償紛争解決センター(原発ADR)が提示した和解案を拒否していることが分かった。すべて東電社員と家族の申し立て事案で、訴訟に発展したケースも先月だけで2件あり、他の社員も提訴を検討している。社員と会社が対立する異常な事態は、ますます深刻化している。【高島博之】

2014年04月16日 毎日新聞 より転載


東電の「Heartbleed:心臓出血」は止まらないようです。
本気で次の事故が起きないことを祈るばかりです。




After311の世の中で学んだ事、それは・・・

「安全」と自ら言っているモノには気をつけろ!


結局、安全神話なんてありませんでした。

今は自己防衛が前提の世の中です。




photo credit: KoFahu meets the Mitropa via photopin cc

photo credit: FutUndBeidl via photopin cc

スポンサーリンク
スポンサーリンク
スポンサーリンク

SNSのシェアはこちらから!

ブログの更新情報をチェックしてね

コメントをどうぞ

メールアドレスが公開されることはありません。