IT情報つめこみ速報|heartbleedsites

「Heartbleed」脆弱性を狙う攻撃パケットの増加が国内でも観測された。
あらためてWebサーバー側とエンドユーザー側、それぞれの対策を整理する。
 

オープンソースのSSL/TLS実装「OpenSSL」に、リモートからメモリ上のデータを読み取られてしまう可能性があるという「Heartbleed」脆弱性を狙う攻撃パケットの増加が観測された。
一方でベンダーによる対策も進んでいる。

 繰り返しになるが、この脆弱性はOpenSSLのバージョン1.0.1/1.0.2系に存在する。

Heartbeat拡張の実装に問題があり、通信相手によって、プロセスのメモリ上のデータが読み出されてしまう恐れがある。

つまり、タイミングによってはサーバー上の秘密鍵や、同じサービスを利用している他人のパスワード、セッション情報などが盗み見られる恐れがある

via.@IT
00: オレ的VIPPER速報てきなやつ 2014年 RSS記事一覧 :ID/dkajdiojf
 警察庁の定点観測システムでは、4月9日以降、
この実証コードに実装されているものと一致するパケットが多数観測された。

おそらく「脆弱性が存在するサーバーなどの探索が実施されているものと考えられる」という。

IT情報つめこみ速報|mt_openssl01
 これに対し、IBMやパロアルトネットワークスなど、IDS/IPS機器を提供するセキュリティベンダーが、Heartbleedの脆弱性に対する攻撃を検出するシグネチャの提供を開始している。

~エンドユーザーの対策~
 
Webサービスを利用している側の対策は何だろうか。

SANS Internet Storm Centerによると、脆弱性の有無をチェックできるサイト
LastPass Heartbleed checker
などを用いて、
自分が利用したいサービスの安全性を確認し
脆弱性がないと確認できた「後」に、パスワードを変更することぐらいだ。
 
Heartbleedの脆弱性は、Internet ExplorerやFirefox、Chromeといった一般的なWebブラウザーには存在しない。
しかし過去、脆弱性のあるWebサーバーにアクセスしていたことがあるならば、サーバー側からパスワードなどの情報が盗み取られていた可能性はゼロとは言えない。

このため、サービス提供側から「Heartbleedの脆弱性を修正した」といった通知があった場合は、新しいパスワードに変更する方が望ましい。

この事態を「フィッシング詐欺」という別の方法で悪用する手口も報告されている。
パスワード変更を依頼する電子メールが届いた場合は、ドメインや送信元を確認し、
もし本文中にURLがあっても不用意にクリックしないよう注意が必要だ。

記事詳細は以下より:


音楽アプリ|FunMusicLife|無料|iPhone
無料で音楽聴き放題!登録ナシ!世界中の人気・新曲を毎日更新!噂のiPhone専用・音楽アプリ

コメント

コメントする

コメントフォーム
評価する
  • 1
  • 2
  • 3
  • 4
  • 5
  • リセット
  • 1
  • 2
  • 3
  • 4
  • 5
  • リセット

トラックバック

人気記事ランキング