OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.23(月)

OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register)

そのメモリには、メッセージやパスワードなどといった旨みのある情報が含まれている。そして別の heartbeatMessage を送信することにより、別の 64KB が漏えいされるため、被害者のシステムを徹底的に調査して御馳走を得るよう、それは繰り返される。

国際 TheRegister
【分析】パスワードを漏らす OpenSSL のバグ、通称「Heartbleed」は非常に悪質で、「しばらくの間はインターネットを利用しないこと」が良い対策であるようにすら思われるものだ。

この幅広く利用されている暗号化ライブラリに見つかった欠陥は、誰もが手軽に、そして密かに、脆弱なシステム(あなたの銀行の HTTPS サーバからプライベート VPN に至るまで)に手をつけ、パスワードやログインクッキー、プライベート暗号キー、その他を盗むことができるようにする。

この 2014 年に、なぜ、そのようなことが起こりえたのか?

Metasploit による、このエクスプロイトのためのシンプルなスクリプトは、「OpenSSL1.0.1 から 1.0.1f を利用して TLS 暗号化を行っているシステム」からセンシティブなインメモリデータを抽出することができる。我々が聞かされている情報によると、このバグは「信頼されているHTTPS のウェブサイト、ならびにクライアントソフトウェア、メールサーバ、チャットサービス、その他、前述のバージョンの OpenSSL を使用したもの」の約 17.5%、約 50 万件に影響を及ぼすものであるという。

この脆弱性が月曜(編集部註:2014 年 4 月 7 日)に発表されたことを受け、現在では、かなりの数の大手ウェブサービスが修復を済ませた;あなたはこのツールを使って確認することができる(もちろん、利用は自己責任でお願いしたい)。だが、もしもあなたが影響を受けている場合は、OpenSSL のインストールを修復するだけでなく、くれぐれも以下のことを忘れないでほしい――キーの変更、セッションクッキーの削除、そしてあなたのデータの危険性の評価だ。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

    メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

  2. Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

    Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

  3. 日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

    日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

  4. 受験者への合格通知を誤って2名分同封し発送(愛知県)

    受験者への合格通知を誤って2名分同封し発送(愛知県)

  5. サイバーセキュリティ技術者の「職人技」どこまで標準化できるか

    サイバーセキュリティ技術者の「職人技」どこまで標準化できるかPR

  6. 個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)

    個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)

  7. MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解

    MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解PR

  8. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  9. Scan BASIC 登録方法

    Scan BASIC 登録方法

  10. WebフィルタリングソフトとWeb分離・無害化製品を連携(ALSI、アシスト)

    WebフィルタリングソフトとWeb分離・無害化製品を連携(ALSI、アシスト)

ランキングをもっと見る