OpenSSLのHeartbleed問題で考える情報リテラシーと真実

OpenSSLに致命的なセキュリティー脆弱性「Heartbleed」が発見されました。メディアの記事が正確性に欠け、いかにしてデマが広がるのか – 我々の情報リテラシーが問われています。

気になったのは毎日新聞の「OpenSSL:宇都宮5図書館、システム停止し更新[i]」です。

インターネット上の買い物サイトなどに使われている暗号通信ソフトウエア「OpenSSL(オープン・エス・エス・エル)」に情報流出の危険性がある重大な欠陥が見つかった問題で、宇都宮市の市立5図書館が利用する蔵書の検索・予約システムを停止するなど波紋が広がった。

影響の範囲として宇都宮市の市立5図書館が書かれていますが、なぜでしょうか。

OpenSSLは、個人情報をやり取りするサービスで広く普及している。

「OpenSSLはサービス」なのか、「個人情報をやり取りするサービスにおいてOpenSSLは広く普及している」のか、誤認しないしょうか。真実は後者です。筆者は句点の打ち方で後者だと表現していますが、紛らわしい限りです。

今回の欠陥は、2012年5月に同ソフトに追加された新機能が原因で、それ以前や最新バージョンを使っていれば問題はないという。

「最新バージョンを使っていれば問題はない」 – これだと、図書館が最新バージョンにアップデートしていないのが原因のように読めてしまいます。真実は「それ以前のバージョン使っていれば影響を受けません。また、既に修正バージョンが公開されています。」です。「問題はない」というのも大きな誤解を生んでいますが、それは後ほど。

情報セキュリティー大手のトレンドマイクロの今月10日の調査では、国内の主要サイト1万7852サイトのうち、問題のソフトを使っていたのは計534サイトだった。

そうですか・・・だから何ですか、と思います。情報セキュリティー大手のトレンドマイクロがどう思っているのか、記者は質問しなかったのでしょうか?むしろ「今後増える事が予想される」のではないでしょうか?主要サイト以外の数と、それらのOpenSSL利用率が不明なのですから。ユーザーは問題を過小評価してしまうでしょう。

問題を解決するには、サイトが利用しているサーバー管理者側が修正版を適用することが必須。

正しいと言えば正しいのですが・・・「サイト運営者はサーバー管理者に影響を受けるのかどうか確認が必要です。その上でサーバー管理者側が修正版を適用するのを待つしかない。」です。とはいえ、読者は一般人ですし、紙面の文字数が制限されているのもわかります。どう表現すべきか悩むところです。

宇都宮市は、今年1月、市内5図書館が共通で使用している情報システムを更新した際、欠陥のあるバージョンを適用。利用者が蔵書を予約・検索したり、借りた本を確認したりするやり取りの暗号化に使っていた。

これだと宇都宮市が欠陥のあるバージョンを「欠陥とは知らずに誤って」適用したように感じませんか?今回の問題は最新のOpenSSLに欠陥があったことです。図書館は脆弱性を避けるため最新版を導入していたのでしょう。Windowsのように、脆弱性を避けるためXPから7や8へ移行するのと同じです。

図書館の技術者は現場でこの記事のような事を言われているのでしょう。その時彼ら技術者は問題を正しく伝えられるでしょうか。問題を正しく伝えるにはリテラシー能力が求められます。技術者に大切なのは技術力だけではないのです。とはいえ、この記事は技術者の感情を逆なでしているとは思います。

今回の欠陥が発覚後、システムの保守管理業者から連絡があり、情報漏えいを防ぐために12日午前9時、システムを一時停止。14日夜、修正版に更新する作業を終えた。

修正の作業量としては1時間で十分です。この書き方だと修正には丸3日必要だと思われてしまいます。きっと、「一部の責任者が検討を開始してから多くの関係者が作業を終えるまで」には丸3日かかったという意味でしょう。

◇国内3大メガバンク「影響受けず」

ユーザーのリテラシーがまだまだ問われます。

一方、三菱東京UFJ銀行、三井住友銀行、みずほ銀行の国内3大メガバンクは14日、毎日新聞の取材に対しいずれも「(当社の)ネットバンキングは今回の欠陥の影響を受けない」と述べ、各社のネットバンキングサービスにOpenSSLの欠陥が影響しないことを明らかにした。

「欠陥の影響を受けない」のは、OpenSSLを最新バージョンにしていなかったからです。OpenSSLを古いまま使い続けていたのです。それはそれで問題ではないでしょうか?

ちょっと混乱させてしまいますが、「問題ではない」とは思います。最新バージョンと利用バージョンの差分が機能的なものだけだから使い続けていたのでしょう。金融系の技術者がOpenSSLを古いまま使い続けるにも意味があります。今回の脆弱性はHeartbeatという、まさに新機能にあったのですから。

ちなみに今回の脆弱性はHeartbeat を皮肉ってHeartbleed (心臓からの出血)と言われています。心臓のように重要な機能が出血するこれほどの問題だからです。これほどウィットに富んだ名称を誰が考えたのでしょうか。

他に、ウェブサービス系では米IT大手グーグルが、検索、Gメール、ユーチューブなど主要サービスで問題を修正済みと発表。買い物サイトを運営するアマゾンと楽天も「影響はない」としている。

「主要サービス」ということは、まだ「全サービス」ではないということです。

それにしても、最初のタイトルにある「宇都宮5図書館」よりも、これらのサービスの方が影響する人が多いでしょう。なぜ宇都宮5図書館をタイトルに入れたのか全く理解できません。

その後、金融系の影響がないとは思えない、と思っていたら、やはりこんな報道が出てきました。

三菱UFJニコス、個人情報894人分流出か[ii]

三菱UFJニコスによると、11日に不正アクセスが発覚し、ネット上のサービスをいったん停止。欠陥の対策をした暗号化ソフトを導入し、12日に再開した。

三菱東京UFJ銀行に影響はなくても、三菱UFJニコスは影響していたのです。問題は三菱東京UFJ銀行が影響なしと言っているその横で、関連会社の三菱UFJニコスは情報を流出させていたことです。毎日新聞の記事には「(当社の)ネットバンキングは今回の欠陥の影響を受けない」と、しっかり(当社の)と書かれています。この意味は深かったのです。三菱東京UFJ銀行と三菱UFJニコスは別会社であり、他社の事に構っている余裕などない、もしくは指揮命令系統にない等、色々事情があるのです。

しかし我々は注意しなければいけません。「11日に不正アクセスが発覚」という事は、不正アクセスが発覚したからサービスを止めたのでしょうか。この書き方だと「不正アクセス」への対応が評価され、「いいね!」と言われるでしょう。しかし真実は「脆弱性を軽視しており、11日の不正アクセスでようやく腰を上げた」です。

いかがでしたか?今まさに我々の情報リテラシーが問われています。

もし本記事に興味、ご関心があれば、ぜひ「コンピューターセキュリティ」を見てください。例えばこんな記事があります。

  • 情報の取捨選択と真実の検証
    インターネットが普及し、個人が手軽に情報を発信できるようになったその一方で、受信した情報に対してはどれほどの人が検証しているだろうか。
  • 無知の知を知ろう
    「8月は暑い?寒い?」と聞かれたらどう思うだろうか。我々は知らないという事を知らない。それが故に思い込み、恐れ、善悪を定義するのだ。
  • 「まぜるな危険」 – 製品表示は真実の一部分にすぎない
    製造者は自分たちが危険だと思うことを警告する事はあっても、利用者が危険性を判断できるよう、必ずしも考慮しているとは限らないし、むしろ警告すべき事を必ずしも警告しているとも限らない。

[i]毎日新聞 2014年4月14日 17時27分(最終更新 4月14日 21時15分)http://mainichi.jp/select/news/20140415k0000m040009000c.html

[ii]朝日新聞デジタル2014年4月19日10時40分 http://www.asahi.com/articles/ASG4M2WF0G4MULFA003.html

コメントを残す

メールアドレスが公開されることはありません。