Top 雑記帳 >OpenSSLの重大バグ「Heartbleed」の影響についてのまとめ。
2014年04月14日

OpenSSLの重大バグ「Heartbleed」の影響についてのまとめ。

OpenSSLのバグ「Heartbleed」が発見されたことがネットを震撼させています。

この脆弱性は、ユーザーとサーバー間で通信するための暗号化技術である「OpenSSL」の不具合で、ユーザーの入力した情報などが流出する可能性がある極めて重大な問題です。

この脆弱性を抱えたOpenSSLは、多くの有名サイトで使われており、少なくとも2年間問題が放置されたまま運用されていたことから、その間に多くの情報が流出した可能性があるというものです。

問題についての詳しい解説は

■「Heartbleed」脆弱性:その内容と影響(マカフィー株式会社)

■ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11?(ギズモード・ジャパン)

■コンピュータに詳しくない人へ。インターネット史上最悪のOpenSSLの脆弱性のニュースをわかりやすく書いてみました。ほとんどすべての人に影響します。(非天マザー)

などの諸サイトでわかりやすく知ることができます。

すでにニュースが駆け巡った後、代表的なウェブサービスでは修正パッチの導入などによって穴は塞がれつつありますが、2年の間に情報が流出した可能性のあるサービスを使っていたユーザーは、パスワード変更などの作業を行わなければ今後安心してサービスを利用することができません。

そのためにはまず、自分が使っていたどのサービスが該当するのかを調べる必要があります。

Mashableの記事:The Heartbleed Hit List: The Passwords You Need to Change Right Now

には、代表的なウェブサービスにHeartbleed問題が存在するかどうか、パッチ処理済みか、流出の可能性を踏まえたパスワードの変更などの必要があるかなどについての一覧表が掲載されています。


01_Heartbleed+1.jpg


表の項目は左から「サービス名」「今回の脆弱性の影響を受けたか」「パッチ修正済みか」「パスワード変更の必要があるか」「サービス事業者からのアナウンス」となっており、[Was it affected?]欄がYes、[Do you need to change your password?]欄もYesになっているサービスでは、早急にパスワードの変更などが必要ということがわかるようになっています。

もちろん、ここに掲載されているサービスが全てではなく、リストに無いサービスでも脆弱性を抱えたOpenSSLを運用している可能性が十分あります。

そんなサイトは

■Heartbleed test

■SSL Server Test

■LastPass Heartbleed checker

などのチェックサイトに目的のURLを入力し、脆弱性の有無などを調べることができます。

さらに、今回の問題を受けて、脆弱性のあるOpenSSLを運用しているサイトを調べることができるFirefoxアドオン「FoxBleed」も公開されており、こちらを利用することで、表示したサイトに脆弱性があるかどうかを確認することができます。

このアドオンをインストール後、対象サイトを開いた際、脆弱性の問題がない、もしくはわからないという場合はアドオンバーのアイコンが 01_FoxBleed Firefox Add-ons.JPG のまま、脆弱性があるOpenSSLを使っているサイトを表示した場合はアイコンが 02_FoxBleed Firefox Add-ons.JPG へと変化し、問題があることを確認できるようになっています。

また、Google Chromeをご利用の方は、「Chromebleed」という同様の拡張機能が用意されています。

なお、私が両者を利用したところ、問題ありと判定されたサイトは確認できませんでしたが、役に立つこともあるのかもしれません。

*Google Chrome拡張機能のユーザーレビュー欄には、何もしていない、動作していないといった書き込みもチラホラ見受けられることから、100%信用はしないほうがいいかもしれませんが・・・

全ネットユーザーが影響を受けているといっても過言ではない今回の脆弱性。ニュースで読んだ、というだけではなく、面倒でも問題の内容や現在利用しているサービスに影響が無いかをよく確認することが大切ですね。


<関連記事>


■Adobe Flash Playerに深刻な脆弱性。

■Adobe ReaderおよびAcrobatに深刻な脆弱性。

■Adobe Flash Playerにまた脆弱性見つかる。緊急公開された最新版へのアップデートを強く推奨。

■Mozilla Javaの脆弱性を受けてFirefoxの[Click To Play]を有効化。

■サイトにSSL接続が用意されているかを自動的に検出してくれるFirefoxアドオン「HTTPS Finder」

■Firefoxの混在SSLコンテンツブロック機能をワンタッチで有効/無効化できるアドオン「Toggle Mixed Active Content」

posted by moziller at 09:00 | Comment(1) | TrackBack(0) | 雑記帳



この記事をはてなブックマークに登録 follow us in feedly このエントリを del.icio.us に登録 この記事をクリップ!Yahoo!ブックマークに登録
この記事へのコメント
Fox Bleed 0.1ですが、「拡張あれこれ」さんのページで
紹介されている Heart bleed-Ext 3.0 とデザイン・操作等
酷似しているように思えるのですが、まったく違う
アドオンですか?
Posted by Fukujusou at 2014年04月15日 19:09
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック