ぼやき

0

2014.2.26
Apple から「 OS X Mavericks アップデート v10.9.2 」がリリースされました。この記事に書いた SSL 接続の脆弱性はこのアップデートをあてることで解決します。 Mavericks で e-Tax する際は必ず OS を 10.9.2 へアップデートしてください。
→ OS X Mavericks アップデート v10.9.2 で SSL 接続の脆弱性を修正

v10.9.2 にアップデートして Maveicks から e-Tax にて確定申告を行いました。
→ Mac OS X 10.9 Mavericks で e-Tax にて確定申告してつまずいたところ

昨日 iOS 7 と iOS 6 のアップデートがリリースされて、 SSL 接続に脆弱性があったことが話題になりました。
→ Appllio : Apple 史上最悪のセキュリティバグか、 iOS と OS X の SSL 接続に危険すぎる脆弱性が発覚──原因はタイプミス?

iPhone 4S が iOS 5.1.1 のままのわたしは対岸の火事的に眺めていたのですが、どうやら Mac の最新 OS である OS X Mavericks (Mac OS X 10.9.1) の Safari 7.0.1 にも同じ脆弱性があるようです。

SSL 接続のどこに脆弱性があるのか


先に挙げたの記事によると、今回の脆弱性はコードに if 文に囲まれてない「 goto fail; 」文があるらしく、これによってこれ以降の if 文での処理がされず、 SSL で接続しているのに通信を傍受されたり改ざんされたりする危険があるようです。

SSL 接続というのは、簡単にいうと https:// で接続しているときのことです。

「 goto fail; 」による危険があるかないかは、下記のサイトアクセスするとわかるみたいです。
→ goto fail; // Apple SSL bug test site : https://gotofail.com/

OS X Mavericks (Mac OS X 10.9.1) の Safari 7.0.1 で上記サイトにアクセスしてみました。

「 goto fail; 」の脆弱性: OS X Mavericks (Mac OS X 10.9.1) Safari 7.0.1

「お使いのブラウザには早くパッチを当てたほうがいいですよ」って警告がでます。

ちなみに Mountain Lion (Mac OS X 10.8.5) Safari 6.1.1 で同じサイトを開いてみると下記の表に安全であると表示されます。

「 goto fail; 」の脆弱性: OS X Mountain Lion (Mac OS X 10.8.5) Safari 6.1.1

Apple は Mavericks の Safari にも早いうちに脆弱性を塞いだバージョンをリリースするといっています。 Mountain Lion でなかった脆弱性が Mavericks で出現してしまったのは、「 Back to the Mac 」 とかいうコンセプトで、 Mavericks から iOS と OS X のコードを統合しはじめたからです。

Mavericks で確定申告の作業はしてはいけない


先日非推奨ながら Mavericks で e-Tax できる環境が揃ったという記事を書きました。
→ Mac OS X 10.9 Mavericks で e-Tax に挑戦!【 Mac のセットアップ編】

しかし OS X Mavericks (Mac OS X 10.9) の Safari 7 の SSL 接続に脆弱性があるので、 Mavericks で e-Tax はしてはいけない、ということです。「ルート証明書」とかいう以前に SSL の接続に脆弱性があるのですから。 Apple からセキュリティアップデートがリリースされない限り、 Mac からの e-Tax は推奨環境の Snow Leopard (Max OS X 10.6) 、 Lion (Mac OS X 10.7) 、 Mountain Lion (Mac OS X 10.8) から行った方がよいようです。

また「確定申告書等作成コーナー」も SSL 接続しているので脆弱性を狙われる危険があります。なので、印刷して郵送するから、といって Mavericks の Safari で確定申告の書類を作成しない方が無難です。

Maveicks の Mac しか手元にないの、という人は、 VMware Fusion などの仮想環境を使って、 Mountain Lion や Windows を動かし e-Tax するのが安全です。
→ VMware Fusion 5 に Snow Leopard Server をインストール

Safari 7 のバグではなく、 Mavericks の OS の SSL 接続部分なので表現を一部訂正しました。また Firefox や Chrome は独自の SSL を使っているので今回の脆弱性の影響はないようです。しかし OS の SSL を使って接続しているアプリケーションは Mail.app や iTunes 、 DropBox 、 IME などたくさんあるので、可能なら OS をダウングレードした方がいいかもしれません。 Mail.app で新規メールを受信したら、普段は存在すら忘れているセキュリティソフトが反応したので、思っている以上に危険かもしれません。とりあえず Mail.app は立ち上げないようにして、 Web Mail で確認するのがよさそうです。個人的には Mavericks のセキュリティアップデートがリリースされるまでは、もう一つのパーティションに入ってる Snow Leopard に出戻るのもありかも。

関連記事