今世紀最大のセキュリティホールが見つかったけど、もう対策した?

2014/04/11

オープンソースのSSL/TLS実装ライブラリOpenSSLに重大な脆弱性が見つかりました。

この”Heartbleed”と呼ばれている脆弱性は、簡単に言うと、暗号化通信しているつもりが、それを解読されたり、なりすましされたりする可能性がある問題です。

OpenSSLは多くのウェブサーバーが使用しており、広範囲に影響があります。

可能性は低いかもしれませんが、「通信が漏洩する」= 「ユーザー名やパスワードが見られている」可能性があるので、念のため対策しておく方が安全です。

Webサービスもユーザーも対応が必要

この問題に対応するにはサーバー(Webサービス)側、クライアント(ユーザー)側、両方で対策が必要です。

Webサービス(サーバー)側の対策

この脆弱性は、OpenSSLのバージョン 1.0.1 – 1.0.1f に含まれているため、OpenSSLのバージョンを更新するか、OpenSSLを使わない実装に変更する必要があります。

さらに、証明書が漏洩している可能性があるので、証明書を更新する必要があります。

これらは、Webサービス側が行う対策で、ユーザー側では手が出せません。

ユーザー側の対策

上記の「Webサービス(サーバー)側の対策」が行われた後で、ユーザー側でパスワードを変更します。

では、どのWebサービスのパスワードを、いつ、更新すればよいのでしょうか?

LastPassを長期間使っている場合

LastPassを長期間使っている場合は、ラッキーです。
LastPassのツールを使用することができます。

  1. Chrome extensionのLastPassから、[Tools] – [Security Check]を選択します。
    Screen_Shot_2014-04-11_1
    Screen_Shot_2014-04-11_2

  2. Security Checkの説明画面が表示されるので、[START THE CHALLENGE]をクリックします。
    Screen_Shot_2014-04-11_3

  3. チェックするユーザー名が表示されるので、[OK]をクリックします。
    Screen_Shot_2014-04-11_4

  4. パスワードを更新するか(Go update!)、Webサービス側の対策を待つか(Wait)、のリストが表示されるので”Go update!”のもののパスワードを更新しましょう。
    Screen_Shot_2014-04-11_5

LastPassを使っていない場合

LastPassを使っていない場合は、残念ならが自動でチェックできないので、「The Heartbleed Hit List: The Passwords You Need to Change Right Now」の表を見て、

  • Was it affected?: Yes または Unclear
  • Do you need to change your password?: Yes

のWebサービスのパスワードを更新しましょう。

Screen_Shot_2014-04-11_6

“Was it affected?” が Yes または Unclearなのに、”Do you need to change your password?” がNoのものは、まだWebサービス側で対策が行われていないので、対策が行われるまで待ちましょう。

まとめ

オープンソースなのにこのような重大なバグが2年間も放置されていたとは驚きです。
誰も気付かなかったのか、気付いたが黙っていた人がいたのか。
おー怖っ!

LastPass for Premium Customers App
カテゴリ: ユーティリティ, 仕事効率化
価格: 無料

1Password App
カテゴリ: 仕事効率化, ユーティリティ
価格: ¥900

反応して頂けると励みになります。ありがとうございます

No Comments

Be the first to start the conversation.

コメントを残す

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax

Text formatting is available via select HTML.

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*