Symantecによる「Heartbleed」の状況整理と対策方針(シマンテック)
4月16日、都内で行われた株式会社シマンテックの記者発表会において、同社Trust Services プロダクトマーケティング部 上席部長 安達徹也氏が、OpenSSLの脆弱性(Heartbleed)について言及した。
脆弱性と脅威
セキュリティホール・脆弱性
Heartbleedとは、OpenSSLの拡張機能「Heartbeat」を利用している場合に、SSL通信を行うためのチェック機能を果たしていないバグを突いた攻撃のことである。Heartbleedは、「SSL暗号通信を行うサーバ」「OpenSSLの特定のバージョン(1.0.1から1.0.1f)」「拡張機能Heartbeatの利用」で問題が発生する。
影響範囲は、上記条件に該当するWebサイトと、そのWebサイトに個人情報を入力した利用者。Heartbleedの脆弱性を狙われると、パスワードやクレジットカード等の個人情報のみならず、通常は漏えいすることのないサーバの秘密鍵が漏えいする。秘密鍵が漏えいすると、SSL暗号通信が解読され、偽のコピーサイトが作られる等の恐れがある。
Alexaの調査結果によると、日本時間4月16日0時時点で、上位1,000のWebサイトにおいては脆弱性への対策が済んでおり、上位50,000のWebサイトでHeatlbleedに対し脆弱なサイトは1.8%である。
安達氏は、Webサイト管理者の対策として、「OpenSSLを修正版(1.0.1g)に更新する、またはHeartbeat機能を使わない」「OpenSSLの更新後、サーバ証明書を再発行し証明書を入れ替え、古い証明書を失効させる」を挙げた。また、Webサイト利用者へ「利用しているWebサイトからのパスワード変更を喚起されたら速やかに実施する」「パスワード更新ページのURLを確認し、フィッシングメールである可能性に注意する」「銀行口座やクレジットカードの明細で不審な取引がないか確認する」といった対策を行うよう呼びかけた。
《ScanNetSecurity》
関連記事
この記事の写真
/
関連リンク
特集
アクセスランキング
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に
-
メディキットホームページに不正アクセス、閲覧障害に
-
日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版
-
モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢
-
セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性