OpenSSLの脆弱性について、もう少し詳しいものがありました。
人気サイトは“Heartbleed”パッチ済み、ただし以前に漏れた可能性も(INTERNET Watch)
オープンソースのSSL/TLSライブラリ「OpenSSL」の“Heartbleed”脆弱性を修正するセキュリティパッチの適用状況について、米Symantecが12日付の同社公式ブログで報告している。最も多く使われている人気サイトではすでにパッチ適用済みであり、この脆弱性への対処は行われているというが、パッチ適用前に情報が漏れた可能もあるとしている。
(後略)
同記事から引用します。
引用、ここから。
(前略)
Symantecでは「ユーザーはパスワードを変更すべき」との考えだ。Heartbleedの脆弱性では、変更した新しいパスワードも外部に漏えいしてしまう可能性があるため、パスワードを変更すべきかどうかについてやや矛盾した情報があったというが、Symantecでは今回の人気サイトの調査から、現在ではほとんどのオンラインアカウントを変更するのは安全だとしている。もちろん、Heartbleedの脆弱性をまだ修正していないサイトでは、今すぐにはパスワードは変更しないこととしている。Symantecがウェブで公開している「SSL Toolbox」では、「Certificate Checker」にサイトのドメイン名を入力することで、そのサイトにHeartbleedの脆弱性があるかどうかチェックできるようになっている。引き続きSymantecでは、Heartbleedに対する事業者向けの注意事項を紹介している。
- OpenSSLのバージョン「1.0.1」から「1.0.1f」までを使っている場合は、最新の修正バージョン「1.0.1g」にアップデートするか、Heartbeat拡張機能を無効化してOpenSSLを再コンパイルすること。
- OpenSSLの修正バージョンへアップデートした後、SSLサーバ-証明書の再発行も行うこと。
- 侵入を受けたサーバーのメモリからエンドユーザーのパスワードが漏えいした可能性を考慮し、ベストプラクティス(基本的なセキュリティ対策)として、エンドユーザーのパスワードをリセットすることも検討すること。
また、引き続きエンドユーザーに対する注意事項も挙げている。
- 脆弱性があったサービスプロバイダーを使用していた場合は、ユーザーのデータが第三者に盗み見られた可能性があることに留意すること。
- 利用しているベンダーからの通知を見逃さないようにし、脆弱性のあったベンダーからパスワードを変更するよう連絡があった場合には、指示に従うこと。
- パスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性も考慮し、正規サイトのドメインを確認し、偽サイトにアクセスしないように注意すること。
Symantecでは、Heartbleedの問題は深刻だとしながらも、終末的なシナリオは考えにくいとみている。同社がすでに公式ブログで言及しているように、実際には秘密鍵のデータを取得するのは非常に難しいというのだ。Heartbleedの脆弱性を使って秘密鍵を取得することに成功したという研究者もあるが、特定の環境が必要になるとSymantecでは指摘している。
引用、ここまで。(後略)
えーと、バグがある状態ではパスワードとかが見られる可能性があるので、サイトが対策を行った後でアカウントやパスワードの変更を行うのが望ましいということですね。
あと、元々のバグにしても、簡単に情報が入手出来る程ではないので、あんまり漏れていないだろうということのようですね。
SSLの仕組みが突破されたとかでは無いのと、それほど漏れていないだろうという点は、安心材料ですね。
これからインターネットを介した情報のやり取りは増えはしても減りはしないでしょうから、似たような事例がまた起きるんでしょうね。
攻殻機動隊では無いですが、「眼を盗まれた」りしたらと思うととても恐いですよね。
マトリクスの夢みる人間電池の方が幸せそうです。
それでは、今回はこのへんで。
0 件のコメント:
コメントを投稿