1. まとめトップ
  2. ニュース・ゴシップ

あなたの個人情報が危ない!OpenSSLに壊滅的なバグ「Heartbleed」問題

ネット上のサイトの66%が使っているというOpenSSLに、壊滅的なバグ「Heartbleed」が発見されました。ID・パスワードの漏えいの可能性が非常に高いことがわかりました。ほとんどの人に影響が出るとされる問題。私たち一般のユーザーが自衛できることとは?

更新日: 2014年04月11日

mizu_tamaさん

  • このまとめをはてなブックマークに追加
263 お気に入り 196128 view
お気に入り追加

壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは

ネット上のサイトの66%が使っているというOpenSSLに、壊滅的なバグ「Heartbleed」が発見された。

出典wired.jp

Heartbleedは、「心臓からの出血」の意味。

画像は、セキュリティ企業のCodenomiconがこの脆弱性について詳しく解説した「Heartbleed」サイトより。

http://heartbleed.com/

4月8日(米国時間)「Holmsey79」というハンドル名のユーザーがYahoo!にログインすると、そのとたんにアカウントがハッキングされた。

これBBCとかだとトップで扱ってるんだけど日本だとまだそこまで騒がれていない感 / “Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは « WIRED.jp” htn.to/dtU7uM

"著名なセキュリティ-専門家のブルース・シュナイアーは4月8日付けのブログ記事で、「壊滅的(カタストロフィック)という言葉が適切だ。1から10で評価するならこれは11だ」と書いている。" wired.jp/2014/04/10/hea…

Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは wired.jp/2014/04/10/hea… <インターネット全体で、大規模なパスワード・リセットが必要になる可能性> 技術が分かる人たちが悲鳴をあげていたけど、ヤバいのか。

国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。

攻撃者は通信の相手のメモリ内容を取得することができる。一回で最大64キロバイト、同じプロセス内の情報に限られるがログが残らない

OpenSSLは・・・

SSL/TLSによる暗号化通信を行うために、多くのWebサーバーで使われている他、VPN通信のためにさまざまなOSやソフトウェア、ネットワーク機器に利用されている。

めぼしい情報が取得できるまで何度でも繰り返すことができるため、プロセス内の全ての情報が漏洩したと考えるべき。

実は、脆弱性は2年前から存在

Heartbleedの存在が公表されたのは今週だが、この脆弱性を抱えたOpenSSLは2012年から使われていた(攻撃を受けたとしても痕跡は残らない)

このOpenSSLに実は不具合があって小さな穴が空いている事が判明しました。判明したのは2014年の4月8日ですが、穴が空いていたのは2年も前からです。

Gmail、YouTubeにも影響

OpenSSLとは、最も広く使用されているオープンソースのSSL/TLS暗号化ライブラリで、世界中のウェブサイトのおよそ2/3がこれを使用しているとされる。

銀行のウェブサイトや「Gmail」、あるいは企業の仮想プライヴェート・ネットワークへのログインなどにも使用されている。

コンピュータ関係者は大騒ぎ、我々一般人はどうすればいい?

のぞき見をできる技術がある人(ハッカーと言います)は、そういう穴から、あなたのIDやパスワード、クレジットカード番号などをのぞき見ることができる状態になっていました。

そういう状態が2年も前から続いていました。

2年も前から続いてたんですが、犯行の痕跡が何も残らないので犯行が行われたかどうかもわからないのです。

今すぐパスワードを変更する必要のあるサービス

Facebook
Tumblr
※Google・Gmail
Yahoo Mail
Dropbox
LastPass
SoundCloud

ただし、Googleは「ユーザーがパスワードを変更する必要はありません。しかし、今変更しておいたほうが、より安全です」とコメントしています。

※今回の影響を受けないサービス
Amazon(ただし、一部サービスは変更の必要あり。詳しくはMashableにて)
Microsoft
Hotmail・Outlook
PayPal

http://www.tabroid.jp/news/2014/04/openssl-heartbleed.html

おそらく今後、日本の企業もパスワード変更のお願いを出すところが出てくるはずです。要注目ですね。

パスワードを変更しても残る問題

あなたのクレジットカード番号がすでに盗み見られてしまっている場合です。すでに知られてしまったクレジットカード番号はどうしようもありません。

クレジットカード自体を他のカードに変更するという手段も考えられますが大変ですよね。

1 2





mizu_tamaさん

猫になり~た~い~♪

/ス\



  • 話題の動画をまとめよう