OpenSSLの脆弱性対策でサイト利用者がすべきこと

2014年4月14日

ウェブで「セキュリティ」といえば「https」「SSL」です。
銀行やその他機密性の必要なウェブサイトでは
ほぼ間違いなく使われている通信手段です。

先週、このSSLに不具合、セキュリティの脆弱性が報告されました。
この脆弱性は、サーバーの管理者だけでなく一般の利用者にも大きな影響があります。

対象


まずはこの不具合が該当するサイトの例をみてみましょう。

【パスワード変更などの対処が必要なサイト】
Facebook
Yahoo(Yahoo Mailを含む)
Instagram
Dropbox
Box
Pinterest
SoundCloud
Tumblr
Amazon Web Services
Etsy
GoDaddy
GitHub
IFTTT
Minecraft
OKCupid
Wunderlist
Intuit(TurboTax)
USAA

OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中) – note ――つくる、つながる、とどける。
https://note.mu/hidex7777/n/n4da15c7c4696-OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中)

リンク先にも書かれているとおり、
この一覧にあるのは、あくまで「リスト化するに値するほど著名なサイトのみがリスト化されている」ものです。

やるべきこと


サーバーの管理者がやるべきことはこの脆弱性を対策することで、
その方法についてはいろいろなところでまとめられていますので
ここでは割愛いたします。

一般的なウェブサイトの利用者の場合は、なにをすべきでしょうか。

もし、これらのサイトをお使いならば、パスワードを変更しておいたほうがよいと思います。
そして、同じID、パスワードの組み合わせを使っているサイトがあれば
これも同じく変更しておくべきです。

ただし、この脆弱性が「修正された」または「脆弱性がない」と
報告のあったサイトから順に変更してください。
脆弱性が残ったままだと、せっかくパスワードを変更しても意味がありません。

脆弱性の内容


この脆弱性の要点をまとめておきます。

  • 脆弱性の報告は2014/4/8ですが、脆弱性そのものは約2年ほど前からありました
  • この脆弱性のあるサイトが攻撃をうけると、サーバーのメモリ情報が盗まれてしまいます
  • メモリ情報の例:ログイン中のユーザー・パスワード情報、暗号化通信のための秘密鍵情報
  • 攻撃されても記録が残らないため、どのような情報が盗まれたか全くわかりません

攻撃をうけた場合は情報が垂れ流しになってしまう上に、何が盗まれたかわからず、
さらに、この脆弱性自体は古くからある、ということを考えると、
この脆弱性の深刻さがお分かりになると思います。

なお、自分のお使いのサイトのSSLが安全なのかどうかは、
以下のサイトで調べることができます。

Heartbleed test
http://filippo.io/Heartbleed/

お問い合わせ

本記事(OpenSSLの脆弱性対策でサイト利用者がすべきこと)にかかわること、 中小企業様さま向けの社内向け業務ウェブシステムにかかわることなど ご相談、ご質問などがありましたら何なりとお問い合わせください。





captcha

この記事の著者

イルカシステム(株) イルカシステム株式会社

イルカシステム(株)は、以下のような業務用ウェブシステムのご提案、受託開発、運用を行っております。

1.中小企業さま向けの社内向け業務ウェブシステム(営業支援、顧客管理、受注管理、請求入金管理、在庫管理、経営数値管理など)

2.医療業界向けの業務改善システム

※業務ウェブシステムの開発を効率化するための自社サービス「イルカベーカリー」をご提供しております。
※医療業界向けに、臨床研究の無作為割付自動化のための自社サービス「ムジンワリ」をご提供しております。

お問合せはお気軽に、こちらからどうぞ! → イルカシステム株式会社へ問合せ

著者:イルカシステム株式会社