一昨日から、世界各地のインターネット上で、データの通信方法における脆弱性が確認されております。このブログ投稿では、『Heartbleed』とは何か、『OpenSSL』とは何か、そして本件に対し、Moneytreeがどのような対策を講じたかを、ご説明します。
ASCII.jpによると、Heartbleedとは『ブラウザとウェブサイト間の暗号化通信に関する脆弱性』で、『攻撃者は理論的にはこのバグを悪用することで、銀行やEコマース・サイトなどの安全な通信が必要なサイト上で使用されるセキュアな接続を解読し、パスワードなどの重要な情報を盗み取ることができる』ような状態であることを指します。
こうした事態に対し、マネーツリーは弊社サービスを、日本時間4月8日17:15から一時的に停止しました。(その後、日本時間4月10日7時32分、以下で説明する必要な対策をとり、サービスを復旧済みです。)
ASCII.jpによると、「OpenSSLはインターネットの広大な範囲に渡って、安全性の必要なウェブ・コミュニケーションを保護するために利用されています」と説明されています。
記事では「OpenSSLは、SSLとその後継プロトコル、TLS(Transport Security Layer)のオープンソース・インプリメンテーションだ。Apacheとnginxのウェブサーバーのデフォルトの暗号化ライブラリーであり、2つを合わせると4月時点で現在アクティブなウェブサイトの2/3以上に使われているとNetcraftのデータは示している」(参考元:Ars Technica)と記載されています。
以上の引用からご理解いただける通り、今回の『Heartbleed』はインターネット上で非常に大規模かつ深刻な事態となっております。日本のメディアでは多く取り上げられていないものの(また、こうした事態にも関わらず対応を一切行っていないサービスも多くございます)、海外の主要メディアでは大きな注目を集めております。
弊社では発生した事態について、お客さまのデータの安全を第一と考え、データ通信の脆弱性対策を緊急かつ最重要事項として対策を講じました。その結果、4月10日から App Storeで最新版のMoneytreeをご提供しておりますので、アップデートの上、これまで同様、安心してご利用ください。
また、重要な個人情報が含まれるサイトで利用しているパスワードを変更することを強く推奨いたします。 米国のMashableの記事をもとに、以下にパスワードを変更すべきサイトを一覧化しました。
Facebook, Instagram, Pinterest, Tumblr
Google, Yahoo
Gmail, Yahoo Mail
Amazon Web Services, Box, Dropbox, Hulu, SoundCloud, Wunderlist
これらのサイトはすでに対応が完了しているため、パスワードの変更をおすすめします。(参考元: Mashable)
テクニカルライターで有名な林信行氏は、上記の対処について、 Yahoo newsで以下のようにコメントしていらっしゃいます。
『Webサイトだけではなく、インターネット上の情報を扱うスマートフォンアプリなどでもパスワードなどの入力が必要なものは同様に危険です。 ただし、例えばiPhone用の財務管理アプリ「MoneyTree」など、今日くらいになって対策を施したアプリも登場し始めているので、そうした信頼のできるサービスやアプリであれば、アプリのアップデートで解決できます』(参考元: Yahoo news)
Heartbleedへの適切な対応、支持します。RT @moneytreejp: 【重要】現在インターネット上でデータの通信方法に、世界各地で脆弱性が確認されております。(中略)Moneytreeはサービスの提供を一時的に中止しました。 http://t.co/vJGisdsswE — KenG (@keng_jp) April 9, 2014
昨日の脆弱性はWeb全体のSSLだったのね。そこで @moneytreejp は念には念をということでセキュリティプロトコルをかけたと。ということは#iOS のセキュリティは相変わらず強いという解釈でいいのかしら? — Taku Takahashi (@takudj) April 9, 2014
@moneytreejp @nigawa さん、このインターネットでかなり広い範囲に影響及ぼしていた深刻なHeartbleed問題にiPhoneとしてもっとも早く責任ある行動と対処取ったのがMoneyTreeで、これは、むしろ同サービスへの信頼度を向上させる対処だったと思います — Nobuyuki Hayashi林信行 (@nobi) April 10, 2014
マネーツリーでは今後ともお客さまに安心してご利用できるお金サービスを提供していくために、邁進してまいりますので、どうぞよろしくお願いいたします。
マネーツリー 一同
2012年に日本で起業。2013年より自動で一括管理する個人資産管理サービス「Moneytree」を提供し、AppleのBest of 2013、Best of 2014を2年連続で受賞。2015年より金融データプラットフォーム「Moneytree LINK」を企業向けに開始し、業界標準の金融系APIを提供している。2017年よりオーストラリア市場でサービスを開始。創業当初よりSalesforce Ventures、SBIインベストメント、三大メガバンク系ファンド、地方銀行系ベンチャーキャピタル、海外大手運用会社から出資を受ける。お金にまつわるもっとも信頼されるプラットフォームの構築を目指す。
当社ウェブサイトは、外部サイトへのリンクを含んでおります。リンク先サイトでの個人情報への取扱いに関しては、そのリンク先サイトでの個人情報保護方針をご確認ください。 当社の個人情報保護方針はそのリンク先サイトで提供されている内容に責任を負うものではありません。
Moneytreeで資産管理を始めよう