OpenSSLの脆弱性対策でサイト利用者がすべきこと

2014年4月14日

ウェブで「セキュリティ」といえば「https」「SSL」です。
銀行やその他機密性の必要なウェブサイトでは
ほぼ間違いなく使われている通信手段です。

先週、このSSLに不具合、セキュリティの脆弱性が報告されました。
この脆弱性は、サーバーの管理者だけでなく一般の利用者にも大きな影響があります。

対象


まずはこの不具合が該当するサイトの例をみてみましょう。

【パスワード変更などの対処が必要なサイト】
Facebook
Yahoo(Yahoo Mailを含む)
Instagram
Dropbox
Box
Pinterest
SoundCloud
Tumblr
Amazon Web Services
Etsy
GoDaddy
GitHub
IFTTT
Minecraft
OKCupid
Wunderlist
Intuit(TurboTax)
USAA

OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中) – note ――つくる、つながる、とどける。
https://note.mu/hidex7777/n/n4da15c7c4696-OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中)

リンク先にも書かれているとおり、
この一覧にあるのは、あくまで「リスト化するに値するほど著名なサイトのみがリスト化されている」ものです。

やるべきこと


サーバーの管理者がやるべきことはこの脆弱性を対策することで、
その方法についてはいろいろなところでまとめられていますので
ここでは割愛いたします。

一般的なウェブサイトの利用者の場合は、なにをすべきでしょうか。

もし、これらのサイトをお使いならば、パスワードを変更しておいたほうがよいと思います。
そして、同じID、パスワードの組み合わせを使っているサイトがあれば
これも同じく変更しておくべきです。

ただし、この脆弱性が「修正された」または「脆弱性がない」と
報告のあったサイトから順に変更してください。
脆弱性が残ったままだと、せっかくパスワードを変更しても意味がありません。

脆弱性の内容


この脆弱性の要点をまとめておきます。

  • 脆弱性の報告は2014/4/8ですが、脆弱性そのものは約2年ほど前からありました
  • この脆弱性のあるサイトが攻撃をうけると、サーバーのメモリ情報が盗まれてしまいます
  • メモリ情報の例:ログイン中のユーザー・パスワード情報、暗号化通信のための秘密鍵情報
  • 攻撃されても記録が残らないため、どのような情報が盗まれたか全くわかりません

攻撃をうけた場合は情報が垂れ流しになってしまう上に、何が盗まれたかわからず、
さらに、この脆弱性自体は古くからある、ということを考えると、
この脆弱性の深刻さがお分かりになると思います。

なお、自分のお使いのサイトのSSLが安全なのかどうかは、
以下のサイトで調べることができます。

Heartbleed test
http://filippo.io/Heartbleed/

この記事の著者

イルカシステム(株) イルカシステム株式会社

イルカシステム(株)は、以下のような業務用ウェブシステムのご提案、受託開発、運用を行っております。

1.中小企業さま向けの社内向け業務ウェブシステム(営業支援、顧客管理、受注管理、請求入金管理、在庫管理、経営数値管理など)

2.医療業界向けの業務改善システム

※業務ウェブシステムの開発を効率化するための自社サービス「イルカベーカリー」をご提供しております。
※医療業界向けに、臨床研究の無作為割付自動化のための自社サービス「ムジンワリ」をご提供しております。

お問合せはお気軽に、こちらからどうぞ! → イルカシステム株式会社へ問合せ

著者:イルカシステム株式会社

お問い合わせ




会社概要

<p>イルカシステム(株)</p>
<img src="http://www.iruka-system.co.jp/wp-content/uploads/2017/01/WS000000.png" alt="会社概要 住所" width="243" height="84" class="alignnone size-full wp-image-49" />
<div class="alert alert-warning">
2017/1/1より、住所変更いたしました。
</div>
<p><span class="label label-success">TEL</span> 03-5843-9168</p>

  • 中小企業 41個の記事

    中小企業様にご提案・開発してきた実績をもとに、システム構築について記載した様々な記事一覧です。

  • 社内システム 39個の記事

    様々な社内システムをご提案・開発してきた実績をもとに、システム構築について記載した様々な記事一覧です。

  • わかりやすさ 30個の記事

    情報システムをわかりやすく使いやすいものにするためのノウハウ、気をつけていることの記事一覧です。

  • UI設計 27個の記事

    UI(ユーザーインターフェース)は、システムの使い勝手を左右します。どんな点に気をつけているか、どんな考えでシステム開発しているかの記事一覧です。

  • 顧客管理 26個の記事

    これまで構築した様々なシステムのうち、顧客管理機能をどのような観点でご提案、開発しているかをまとめた記事一覧です。

  • 受注管理 18個の記事

    これまで構築した様々なシステムのうち、受注情報を管理する機能をどのような観点でご提案、開発しているかをまとめた記事一覧です。

  • ビジネス 18個の記事

  • 業務 16個の記事

  • 要件定義 14個の記事

    要件定義とはどのようなシステムを構築するのかを決める作業です。要件定義において注意し、考えていることをまとめた記事一覧です。

  • クラウド 13個の記事

  • 登録画面 13個の記事

  • 編集画面 12個の記事

  • システム会社 12個の記事

  • 情報共有 11個の記事

  • みえる化 11個の記事

    手作業をシステム化して効率化するだけでなく、それらの情報を集約して簡単に見えるようにし、社員が自律的に動ける組織を作ることが「みえる化」です。

  • 一覧画面 11個の記事

  • 業務用ウェブシステム 10個の記事

  • エクセル 9個の記事

  • コミュニケーション 9個の記事

  • セキュリティ 8個の記事