ウェブで「セキュリティ」といえば「https」「SSL」です。
銀行やその他機密性の必要なウェブサイトでは
ほぼ間違いなく使われている通信手段です。
先週、このSSLに不具合、セキュリティの脆弱性が報告されました。
この脆弱性は、サーバーの管理者だけでなく一般の利用者にも大きな影響があります。
対象
まずはこの不具合が該当するサイトの例をみてみましょう。
【パスワード変更などの対処が必要なサイト】
Yahoo(Yahoo Mailを含む)
Dropbox
Box
SoundCloud
Tumblr
Amazon Web Services
Etsy
GoDaddy
GitHub
IFTTT
Minecraft
OKCupid
Wunderlist
Intuit(TurboTax)
USAA
OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中) - note ――つくる、つながる、とどける。
https://note.mu/hidex7777/n/n4da15c7c4696-OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中)
リンク先にも書かれているとおり、
この一覧にあるのは、あくまで「リスト化するに値するほど著名なサイトのみがリスト化されている」ものです。
やるべきこと
サーバーの管理者がやるべきことはこの脆弱性を対策することで、
その方法についてはいろいろなところでまとめられていますので
ここでは割愛いたします。
一般的なウェブサイトの利用者の場合は、なにをすべきでしょうか。
もし、これらのサイトをお使いならば、パスワードを変更しておいたほうがよいと思います。
そして、同じID、パスワードの組み合わせを使っているサイトがあれば
これも同じく変更しておくべきです。
ただし、この脆弱性が「修正された」または「脆弱性がない」と
報告のあったサイトから順に変更してください。
脆弱性が残ったままだと、せっかくパスワードを変更しても意味がありません。
脆弱性の内容
この脆弱性の要点をまとめておきます。
- 脆弱性の報告は2014/4/8ですが、脆弱性そのものは約2年ほど前からありました
- この脆弱性のあるサイトが攻撃をうけると、サーバーのメモリ情報が盗まれてしまいます
- メモリ情報の例:ログイン中のユーザー・パスワード情報、暗号化通信のための秘密鍵情報
- 攻撃されても記録が残らないため、どのような情報が盗まれたか全くわかりません
攻撃をうけた場合は情報が垂れ流しになってしまう上に、何が盗まれたかわからず、
さらに、この脆弱性自体は古くからある、ということを考えると、
この脆弱性の深刻さがお分かりになると思います。
なお、自分のお使いのサイトのSSLが安全なのかどうかは、
以下のサイトで調べることができます。
Heartbleed test
http://filippo.io/Heartbleed/
このページの著者
イルカシステム(株)は、以下のような業務用ウェブシステムのご提案、受託開発、運用を行っております。
-
中小企業さま向けの社内向け営業支援、顧客管理、経営数値管理システム
経営数値をリアルタイムで見える化し、目標達成度を常に把握することができ、顧客へのフォローもスムースになります
-
中小企業さま向けの受発注管理、請求入金管理、在庫管理
御社特有の受発注業務、出荷処理をシステム化することで業容拡大への大きなお手伝いとなります
-
医療業界向けの業務改善システム
※医療業界向けに、臨床研究の無作為割付自動化のための自社サービス「 ムジンワリ 」をご提供しております。
-
IoTシステムの開発
詳しくは ご提供サービス を参照してください。
