ページ

2014-04-11

まずはパスワード変更を! OpenSSLに見つかった「Heartbleed」バグへの対処

オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大しています。OSやクラウドサービス、ネットワーク機器は、このOpenSSLを利用しているものが数多くあります。現在、ベンダー各社は確認・対応に奔走していると言ったところでしょうか。国内でもこの影響を受けるサイトが確認されているとのことで、一時的にサービスを停止しているサイトも出ています。


「OpenSSL」のバージョン1.0.1/1.0.2系が対象で、秘密鍵などが盗まれる恐れのなる深刻な脆弱性(CVE-2014-0160)が見つかったもので、既に2年前から存在、「最悪のケースを想定して対処を」と専門家は警告しています。このバグは、Heartbeat拡張の実装に見つかった致命的なバグであることから、「Heartbleed」バグと呼ばれています。

FacebookやGoogleなどはこの問題への対策を既に取っており、Googleの広報は「この問題は解決済みで、ユーザはパスワードを変更する必要はない」と答えたとのことです。また、Amazonの広報も影響はないとの見解を示しています。多くのネットサービスなどで使われているSSL/TLS暗号化ライブラリだけに、専門家も「この問題でユーザ側が取れる対策はほとんどない」との見解を示しています。実際、われわれユーザの取れる対策は、パスワードを地道に変更することぐらいしか出来ません。パスワードを変更してもサイト側で対応してくれない限り、また変更したパスワードを盗まれてしまうことにもなりかねない。

けれど、われわれユーザが取れる対応策は、このパスワード変更くらいしかありません。「Mashable」サイトに、パスワード変更の必要なサービスがリストアップされているので参考にしましょう。

今すぐパスワードを変更する必要のあるサービスとされているのは、Facebookをはじめ、Tumblr、Google Gmail、Yahoo Mail、Dropboxなどです。また、今回のバグ対処が不要とされるものは、Amazon、Microsoft、Hotmail、Outlookなどです。現在不明とされるサービスは、Twitter、Apple、eBay、Evernote、PayPalとのことです。詳しくはMashableのページをご覧ください。


OpenSSLバグ関連

0 件のコメント:

コメントを投稿