記事の内容やaishipシリーズに関するお問い合わせはこちらから

0120-173-163 お電話

[電話受付時間]平日9:30〜19:00

TOP

CATEGORY

SERVICE

【緊急】全ての人に見て欲しいHeartbleedに関する11の参考記事

【緊急】全ての人に見て欲しいHeartbleedに関する11の参考記事

世界中を騒がせている重大すぎるバグ「Heartbleed」。

自分の情報を守るため、そして情報流出によってビジネス上の信頼を失わないためにも最新情報を追い続けることが大事です。

「そもそもHeartbleedとはなにか?」から「今やるべきこと」まで、知っておきたい情報をまとめた11の記事をご紹介します。

“Heartbleed”についての理解を深める記事

ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと

「TVやネットのニュースで耳にするけど、実際そんなに重大な問題なの?」という方は、まずこの記事を読むことをお勧めします。
問題となっている「OpenSSL」についてや、サーバー側で対処すべき方法などについてシンプルにまとめられています。

Heartbleedは一般的なウェブ・ユーザーにとってなじみのある脆弱性でない。そのため、それがなぜそれほど重大なのか、またデータを安全にしておくためには何ができるかについて、ここでなるべく分かりやすく紹介したい。

ASCII.jp:ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと

[ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの?

先ほどの記事でいまいちピンと来なかった方は、こちらの動画を見てみましょう。
言葉よりも動画のほうがわかりやすい場合もあります。

Heartbleed(心臓出血)て何のこと? 具体的にどういうバグなの? 何がどうたいへんなの? このKhan Academyの教材みたいな†ビデオが、説明に努めている。

[ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの? | TechCrunch Japan

Heartbleed Bugはこうしてデータを盗む、のわかりやすい6コマ漫画

よりHertbleedについてわかりやすくまとめたものとしては、こちらの記事が最適です。
このバグを悪用して、データを盗み取る方法が6コマの漫画でまとめられています。

「(本当は3文字なのに)500文字のHATを返して」ときけば、サーバは「HAT」に続く497文字分の情報を返してくれます。
だから、Heartbeatを根気よく続ければ、HAT以下のデータを延々と返してもらえることになります。

Heartbleed Bugはこうしてデータを盗む、のわかりやすい6コマ漫画:海外速報部ログ:ITmedia オルタナティブ・ブログ

壊滅的バグ・Heartbleedを追加した人物へのインタビュー

こちらは「Heartbleed」バグを持ったコードを追加したその人へのインタビュー記事です。
バグ確認の重要性をひしひしと感じます。

「非常にシンプルなバグであり、修正もごく一部ですむ」とハント氏は書いている。「問題は、50万に及ぶと見られる脆弱なウェブサイトで修正が必要なことだ」

「わたしは不幸にも見逃した」:壊滅的バグ・Heartbleedを追加した人物へのインタヴュー ≪ WIRED.jp

Heartbleed情報アップデート:国内でもHeartbleedを狙うパケットの増加を観測

こちらは実際に攻撃を受けたのではないかと思われるパケットが増加しているというニュースです。
「JPドメインでは1195サイトのうちの534サイトが脆弱で、実に45%が脆弱性を抱えている」という恐ろしい事実も発表されています。

Heartbleedの脆弱性は、攻撃を受けてもその痕跡は残らず、被害が生じたかどうかの確認が困難だ。しかも脆弱性が明らかになった数日後には、Heartbleedの脆弱性を狙う実証コードが公開された。

Heartbleed情報アップデート:国内でもHeartbleedを狙うパケットの増加を観測 – @IT

NSA、「Heartbleedを2年前から悪用してきた」報道を否定

実際はチェックミスが原因でしたが、一時は「NSAなどによる陰謀説」も唱えられていました。
「知っていて悪用していたのでは?」という声にNSAが否定の声明を発表しています。

「米国家安全保障局(NSA)は少なくとも2年前からHeartbleedの脆弱性を認識し、情報収集に利用してきた」というBloombergの報道をNSAがTwitterで否定し、声明文を発表した。

NSA、「Heartbleedを2年前から悪用してきた」報道を否定 – ITmedia ニュース

“Heartbleed”から身を守るための記事

続いてHearbleedから自身・会社の身を守るために知っておきたい情報をまとめた記事です。

”HeartBleed”バグの影響を受けるAndroidアプリをチェックできるスキャナーアプリ「Bluebox Heartbleed Scanner」がリリース

Heartbleedの影響はWEBサイトだけではありません。
AndroidアプリでHeartbleedが発生しているかを確認できるアプリがリリースされています。

”HeartBleed”と呼ばれるバグによる深刻な脆弱性の影響を受けるAndroidアプリをチェックできるスキャナーアプリ「Bluebox Heartbleed Scanner」がリリースされました。

OpenSSLで発見された”HeartBleed”バグの影響を受けるAndroidアプリをチェックできるスキャナーアプリ「Bluebox Heartbleed Scanner」がリリース | ガジェット通信

Apple、OpenSSLの重大バグ「Heartbleed」による被害はなかったことを発表

Appleは公式のコメントとして「AppleのサービスでHeart bleedによる影響は受けていない」と発表しています。
そもそもOpen SSLを利用していないとのことですが、APPstoreやiTunesなどは安全とみて良さそうです。

「AppleのサービスにOpenSSLを利用したことは一度も無い」

Apple、OpenSSLの重大バグ「Heartbleed」による被害はなかったことを発表 | gori.me(ゴリミー)

Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧

Hearbleed対応が済んでいるサイトでも、今使用しているパスワードを変更することが自衛のために必須です。
ギズモードにてサイト一覧をまとめた記事がありました。

MashableがHeartbleedの影響を受けたWebサイトやパスワード変更を呼びかけているWebサイトのリストをまとめてくれました。

Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧 : ギズモード・ジャパン

How To:「Heartbleed」から身を守るには–セキュリティ専門家に聞く

Heartbleedの厄介な点は「エンドユーザーからできる対処が限られていること」です。
重要な情報を入力しているサービスについては、かならず対応状況を確認しましょう。

自分のデータを預けている場合は、小規模企業にもためらわずに連絡を取り、安全であることを確かめること。TrustWaveのMiller氏は、YahooやImgurのような著名企業は間違いなくこの問題を知っているが、小規模企業は問題に気づいてすらいない可能性があるとしている。自分の情報が安全であることを積極的に確認しよう。

How To:「Heartbleed」から身を守るには–セキュリティ専門家に聞く – CNET Japan

BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか

消失問題でニュースにもなったBitcoin。こちらもOpenSSLを使用しているため、自衛のための対応が必要となります。

あなたのBitcoinに触れるものはすべてアップデートすること。対策状態を公表していない取引所は使わないこと。OpenSSLのこのバグが存在するようになってから今日までの2年間で、あなたのユーザネームやパスワードが絶対に無事だったという保証はないから、Bitcoinのデータも含めて、何もかも変えること。あなたのオンライン生活の細部をちょっと知っただけで、ウォレットに侵入できるハッカーも、きっといる。

BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか | TechCrunch Japan

よりHeartbleedについて知りたい方はこちら
よりHeartbleedについて知りたい方はこちら

いかがでしたでしょうか。

「多くのサービスのパスワードを変更することになり、管理が大変になる」と予測してか、1Passwordなどのパスワード管理ソフトがセールを実施しています。

WindowsXP同様、こちらの問題についても早めの対処が重要となります。

aishipRのHeartbleed対応について

aishipRではHeartbleedにより発生している脆弱性については既に対応済です。

Heartbleed脆弱性検査などでも「問題なし」との結果が出ていますので、ご安心してご利用下さい。

                   
商品の販売に“夢中”になれる
クラウド型ECサイト構築ASP

ECサイト構築、リニューアルを2000社以上支援してきた知見から
ECの専門家として御社のEC事業成長をサポートします。

  • 導入実績2000社以上


    導入実績

  • 注文単価増加率114%

    導入1年後の
    注文単価
    増加率

  • 売上成長率128%

    導入1年後の
    売上成長率

  • EC支援歴20年


    EC支援歴

         

お知らせカテゴリの最新記事