OpenSSL に見つかった「ハートブリード・バグ」に関するニュースで目にした「compromise」の意味とは?

インターネット界が揺れています。何に揺れているかというと、バグです。「ハートブリード(心臓出血)・バグ(heartbleed bug)」という、世にもけったいな名前のバグ(欠陥)が見つかったのです。



ジェガーさんから『How to Protect Yourself From the Heartbleed Bug』(4.9.2014)という記事が送られてきたので、読んでみると、”compromise” という単語が2回出てきました。

If you have logged into any of the affected sites over the past two years, your account information could be compromised, allowing cybercriminals to snap up your credit card information or steal your passwords.

via How to Protect Yourself From the Heartbleed Bug

Thus, it’s hard to determine whether someone ever exploited the bug, or if your account information was compromised.

via How to Protect Yourself From the Heartbleed Bug

ポイント

“compromise” は、私は「妥協する」という意味しか知らなかったのですが、ここでは「危険にさらす」という意味で使われています。

compromise | Macmillan Dictionary

  1. to solve a problem or end an argument by accepting that you cannot have everything that you want
  2. to risk harming or losing something important
  3. to behave in a way that is not honest by doing things that do not agree with what you previously believed in or tried to achieve

(傷ついたり、あるいは重要なものを失う危険を冒す、という意味なんですね!3. のように、かつての信条や目標に合わない行為をして不正直にふるまう、という意味もあります。)

つまり1文目は、「影響のあったサイトに過去2年内にログインしていた場合、アカウント情報が危険にさらされ、ネットの犯罪者がクレジット・カード情報をさらったり、パスワードを盗める状況を作り出していた可能性がある」、そして2文目は「このように、誰かがバグを悪用したかどうか、あるいはアカウント情報が危険にさらされていたかどうかを見極めるのは難しい」と書かれていたのでした。

補足

というわけでこの「ハートブリード・バグ」、インターネットにとってこれまでで最も深刻な脅威になる可能性があると言われています。

The issue involves network software called OpenSSL, which is an open-source set of libraries for encrypting online services. Secure websites — with “https” in the URL (“s” stands for secure) — make up 56% of websites, and nearly half of those sites were vulnerable to the bug.

(問題が起きているのは OpenSSL と呼ばれるネットワーク・ソフトウェア。暗号化オンライン・サービスの、オープンソース・ライブラリ・セットだ。サイト全体の56%を占める、URL に “https”〔”s” は “secure” の “s”〕が含まれるような安全なサイトのうち、半分近くがこのバグの影響を受けている。)

via How to Protect Yourself From the Heartbleed Bug

不幸中の幸いは、問題に最初に気付いたのが、ハッカーでなく Google のセキュリティ・チームのメンバーとソフトウェア会社『Codenomicon』だと言われていること。ただし、ハッカーたちが痕跡を残さずに情報を引き出した可能性も無視できません。

<対策>

  1. 自分が使っているサイトがバグの影響を受けているか確認する
  2. メジャーなサイトもけっこう影響を受けています。(※以下、米4月10日時点にて via Mashable

    Website Was it affected? Is there a patch? Do you need to change your password?
    Facebook Unclear Yes YES
    Instagram Yes Yes YES
    LinkedIn No No No
    Pinterest Yes Yes YES
    Tumblr Yes  Yes  YES
    Twitter No Yes  Unclear
    Apple No No No
    Amazon No No No
    Amazon Web Services Yes Yes YES
    Google Yes  Yes YES *Google said users do not need to change their passwords, but because of the previous vulnerability, better safe than sorry.
    Microsoft No No No
    Yahoo Yes Yes YES
    Gmail Yes Yes YES *Google said users do not need to change their passwords, but because of the previous vulnerability, better safe than sorry.
    Hotmail / Outlook No No No
    Yahoo Mail Yes Yes YES
    eBay No No No
    Etsy Yes Yes YES
    GoDaddy Yes Yes YES
    Groupon No No No
    PayPal No No No
    Bank of America No No No
    Chase No No No
    U.S. Bank No No No
    Wells Fargo No No No
    Healthcare .gov No No No
    Intuit (TurboTax) Yes Yes YES
    IRS Unclear Unclear Unclear
    Dropbox Yes Yes YES
    Evernote No No No
    Hulu Unclear Unclear Unclear
    Netflix Unclear Unclear Unclear
    SoundCloud Yes Yes YES
    WordPress Unclear Unclear Unclear

    その他のサイトについては、以下のサイト『LastPass – LastPass Heartbleed checker』で URL を入力して確認することができます。
    LastPass Heartbleed checker

    (クリックするとリンク先に飛びます)

  3. パスワードを変更する
  4. 注意するのは、各サイトがハートブリード・バグに対応するようサーバーをアップデートしているか、まず確認すること。そうでなければ、パスワードを変更しても意味がありません。

    It’s important to wait to get the “all clear” sign from a company or service before changing, especially now that this bug is out in the open. Changing a password before the bug is fully patched wont’ make things any better.

    (バグが明るみになっている現状では特に、会社やサービスから「問題なし」という報告が出るまで、変更せずに待つことが重要だ。バグが完全に対応される前にパスワードを変えても、事態はよくならない。)

    via How to Protect Yourself From the Heartbleed Bug

    上記の表で赤字で YES としているものに関しては、サーバーがアップデート済みなので、パスワードを変更して問題ないようです。

・・・大きな事態につながりませんように。