「Heartbleed」脆弱性を狙う攻撃パケットの増加が国内でも観測された。
あらためてWebサーバー側とエンドユーザー側、それぞれの対策を整理する。
オープンソースのSSL/TLS実装「OpenSSL」に、リモートからメモリ上のデータを読み取られてしまう可能性があるという「Heartbleed」脆弱性を狙う攻撃パケットの増加が観測された。
一方でベンダーによる対策も進んでいる。
繰り返しになるが、この脆弱性はOpenSSLのバージョン1.0.1/1.0.2系に存在する。
Heartbeat拡張の実装に問題があり、通信相手によって、プロセスのメモリ上のデータが読み出されてしまう恐れがある。
つまり、タイミングによってはサーバー上の秘密鍵や、同じサービスを利用している他人のパスワード、セッション情報などが盗み見られる恐れがある
via.@IT
00: オレ的VIPPER速報てきなやつ 2014年 RSS記事一覧 :ID/dkajdiojf
警察庁の定点観測システムでは、4月9日以降、
この実証コードに実装されているものと一致するパケットが多数観測された。
おそらく「脆弱性が存在するサーバーなどの探索が実施されているものと考えられる」という。
~エンドユーザーの対策~
Webサービスを利用している側の対策は何だろうか。
SANS Internet Storm Centerによると、脆弱性の有無をチェックできるサイト
「LastPass Heartbleed checker」などを用いて、
自分が利用したいサービスの安全性を確認し、
脆弱性がないと確認できた「後」に、パスワードを変更することぐらいだ。
Heartbleedの脆弱性は、Internet ExplorerやFirefox、Chromeといった一般的なWebブラウザーには存在しない。
しかし過去、脆弱性のあるWebサーバーにアクセスしていたことがあるならば、サーバー側からパスワードなどの情報が盗み取られていた可能性はゼロとは言えない。
このため、サービス提供側から「Heartbleedの脆弱性を修正した」といった通知があった場合は、新しいパスワードに変更する方が望ましい。
この事態を「フィッシング詐欺」という別の方法で悪用する手口も報告されている。
パスワード変更を依頼する電子メールが届いた場合は、ドメインや送信元を確認し、
もし本文中にURLがあっても不用意にクリックしないよう注意が必要だ。
記事詳細は以下より:
▲無料で音楽聴き放題!登録ナシ!世界中の人気・新曲を毎日更新!噂のiPhone専用・音楽アプリ
コメント
コメントする