Symantecによる「Heartbleed」の状況整理と対策方針(シマンテック)
4月16日、都内で行われた株式会社シマンテックの記者発表会において、同社Trust Services プロダクトマーケティング部 上席部長 安達徹也氏が、OpenSSLの脆弱性(Heartbleed)について言及した。
脆弱性と脅威
セキュリティホール・脆弱性
Heartbleedとは、OpenSSLの拡張機能「Heartbeat」を利用している場合に、SSL通信を行うためのチェック機能を果たしていないバグを突いた攻撃のことである。Heartbleedは、「SSL暗号通信を行うサーバ」「OpenSSLの特定のバージョン(1.0.1から1.0.1f)」「拡張機能Heartbeatの利用」で問題が発生する。
影響範囲は、上記条件に該当するWebサイトと、そのWebサイトに個人情報を入力した利用者。Heartbleedの脆弱性を狙われると、パスワードやクレジットカード等の個人情報のみならず、通常は漏えいすることのないサーバの秘密鍵が漏えいする。秘密鍵が漏えいすると、SSL暗号通信が解読され、偽のコピーサイトが作られる等の恐れがある。
Alexaの調査結果によると、日本時間4月16日0時時点で、上位1,000のWebサイトにおいては脆弱性への対策が済んでおり、上位50,000のWebサイトでHeatlbleedに対し脆弱なサイトは1.8%である。
安達氏は、Webサイト管理者の対策として、「OpenSSLを修正版(1.0.1g)に更新する、またはHeartbeat機能を使わない」「OpenSSLの更新後、サーバ証明書を再発行し証明書を入れ替え、古い証明書を失効させる」を挙げた。また、Webサイト利用者へ「利用しているWebサイトからのパスワード変更を喚起されたら速やかに実施する」「パスワード更新ページのURLを確認し、フィッシングメールである可能性に注意する」「銀行口座やクレジットカードの明細で不審な取引がないか確認する」といった対策を行うよう呼びかけた。
《ScanNetSecurity》
関連記事
この記事の写真
/
関連リンク
特集
アクセスランキング
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止
-
豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし
-
![北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/44783.jpg)
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
-
社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査
-
サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査
-
Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
-
経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視