「OpenSSL」のバージョン1.0.1/1.0.2系が対象で、秘密鍵などが盗まれる恐れのなる深刻な脆弱性(CVE-2014-0160)が見つかったもので、既に2年前から存在、「最悪のケースを想定して対処を」と専門家は警告しています。このバグは、Heartbeat拡張の実装に見つかった致命的なバグであることから、「Heartbleed」バグと呼ばれています。
FacebookやGoogleなどはこの問題への対策を既に取っており、Googleの広報は「この問題は解決済みで、ユーザはパスワードを変更する必要はない」と答えたとのことです。また、Amazonの広報も影響はないとの見解を示しています。多くのネットサービスなどで使われているSSL/TLS暗号化ライブラリだけに、専門家も「この問題でユーザ側が取れる対策はほとんどない」との見解を示しています。実際、われわれユーザの取れる対策は、パスワードを地道に変更することぐらいしか出来ません。パスワードを変更してもサイト側で対応してくれない限り、また変更したパスワードを盗まれてしまうことにもなりかねない。
けれど、われわれユーザが取れる対応策は、このパスワード変更くらいしかありません。「Mashable」サイトに、パスワード変更の必要なサービスがリストアップされているので参考にしましょう。
今すぐパスワードを変更する必要のあるサービスとされているのは、Facebookをはじめ、Tumblr、Google Gmail、Yahoo Mail、Dropboxなどです。また、今回のバグ対処が不要とされるものは、Amazon、Microsoft、Hotmail、Outlookなどです。現在不明とされるサービスは、Twitter、Apple、eBay、Evernote、PayPalとのことです。詳しくはMashableのページをご覧ください。
OpenSSLバグ関連
- 【OpenSSLバグ問題】Microsoftも安全宣言。「『Heartbleed』脆弱性の影響を受けません」
- 【OpenSSLバグ問題】Apple、自社製品での「情報漏えいの心配はない」ことを公表
- 【OpenSSLバグ問題】ネットエージェント、Heartbleed脆弱性検査サービスを無償提供
0 件のコメント:
コメントを投稿