一昨日から、世界各地のインターネット上で、データの通信方法における脆弱性が確認されております。このブログ投稿では、『Heartbleed』とは何か、『OpenSSL』とは何か、そして本件に対し、Moneytreeがどのような対策を講じたかを、ご説明します。

Heartbleedとは

ASCII.jpによると、Heartbleedとは『ブラウザとウェブサイト間の暗号化通信に関する脆弱性』で、『攻撃者は理論的にはこのバグを悪用することで、銀行やEコマース・サイトなどの安全な通信が必要なサイト上で使用されるセキュアな接続を解読し、パスワードなどの重要な情報を盗み取ることができる』ような状態であることを指します。

こうした事態に対し、Moneytreeは弊社サービスを、日本時間4月8日17:15から一時的に停止しました。(その後、日本時間4月10日7時32分、以下で説明する必要な対策をとり、サービスを復旧済みです。)

OpenSSLとは

ASCII.jpによると、「OpenSSLはインターネットの広大な範囲に渡って、安全性の必要なウェブ・コミュニケーションを保護するために利用されています」と説明されています。

記事では「OpenSSLは、SSLとその後継プロトコル、TLS(Transport Security Layer)のオープンソース・インプリメンテーションだ。Apacheとnginxのウェブサーバーのデフォルトの暗号化ライブラリーであり、2つを合わせると4月時点で現在アクティブなウェブサイトの2/3以上に使われているとNetcraftのデータは示している」(参考元:Ars Technica)と記載されています。

以上の引用からご理解いただける通り、今回の『Heartbleed』はインターネット上で非常に大規模かつ深刻な事態となっております。日本のメディアでは多く取り上げられていないものの(また、こうした事態にも関わらず対応を一切行っていないサービスも多くございます)、海外の主要メディアでは大きな注目を集めております。

弊社では発生した事態について、お客さまのデータの安全を第一と考え、データ通信の脆弱性対策を緊急かつ最重要事項として対策を講じました。その結果、4月10日から App Storeで最新版のMoneytreeをご提供しておりますので、アップデートの上、これまで同様、安心してご利用ください。

お客さまのデータを保護するために、弊社が行った対応は、以下の通りです。
  1. Heartbleed脆弱性を確認した直後、サービスの提供を一時停止しました。
  2. OpenSSLライブラリが修正されている間、お客さまに状況を報告しました。
  3. SSL証明書(暗号化の鍵)を新たに再発行しました。
  4. 新しいSSL証明書に対応できるように、Moneytree新しいバージョンをApp Storeにアップロードしました。
  5. セッションキーを無効にし、お客さまがログインした際、新しいセッションキーを発行しました。
以下は、お客さまにて行っていただきたいHeartbleedへの対策方法になります
  1. Moneytreeの最新版にアップデートする。
  2. Moneytreeで利用しているパスワードを変更する。
  3. 個人情報を含む他社のサイトの場合に、当脆弱性への対応を確認した上にパスワードを変更する。
  4. まだ対策が完了していないウェブサービス、アプリは安全措置が取られるまで、利用を避ける。

また、重要な個人情報が含まれるサイトで利用しているパスワードを変更することを強く推奨いたします。 米国のMashableの記事をもとに、以下にパスワードを変更すべきサイトを一覧化しました。

ソーシャルメディア

Facebook, Instagram, Pinterest, Tumblr

大手ITサービス

Google, Yahoo

メール系サービス

Gmail, Yahoo Mail

クラウド系サービス

Amazon Web Services, Box, Dropbox, Hulu, SoundCloud, Wunderlist

これらのサイトはすでに対応が完了しているため、パスワードの変更をおすすめします。(参考元: Mashable

テクニカルライターで有名な林信行氏は、上記の対処について、 Yahoo newsで以下のようにコメントしていらっしゃいます。

Webサイトだけではなく、インターネット上の情報を扱うスマートフォンアプリなどでもパスワードなどの入力が必要なものは同様に危険です。 ただし、例えばiPhone用の財務管理アプリ「MoneyTree」など、今日くらいになって対策を施したアプリも登場し始めているので、そうした信頼のできるサービスやアプリであれば、アプリのアップデートで解決できます』(参考元: Yahoo news

ツイッターでいただいたお声

Heartbleedへの適切な対応、支持します。RT @moneytreejp: 【重要】現在インターネット上でデータの通信方法に、世界各地で脆弱性が確認されております。(中略)Moneytreeはサービスの提供を一時的に中止しました。 http://t.co/vJGisdsswE

— KenG (@keng_jp) April 9, 2014

昨日の脆弱性はWeb全体のSSLだったのね。そこで @moneytreejp は念には念をということでセキュリティプロトコルをかけたと。ということは#iOS のセキュリティは相変わらず強いという解釈でいいのかしら?

— Taku Takahashi (@takudj) April 9, 2014

@moneytreejp @nigawa さん、このインターネットでかなり広い範囲に影響及ぼしていた深刻なHeartbleed問題にiPhoneとしてもっとも早く責任ある行動と対処取ったのがMoneyTreeで、これは、むしろ同サービスへの信頼度を向上させる対処だったと思います

— Nobuyuki Hayashi林信行 (@nobi) April 10, 2014弊社では今後ともお客さまに安心してご利用できるお金サービスを提供していくために、邁進してまいりますので、どうぞよろしくお願いいたします。

Moneytree 一同