世界中を騒がせている重大すぎるバグ「Heartbleed」。
自分の情報を守るため、そして情報流出によってビジネス上の信頼を失わないためにも最新情報を追い続けることが大事です。
「そもそもHeartbleedとはなにか?」から「今やるべきこと」まで、知っておきたい情報をまとめた11の記事をご紹介します。
“Heartbleed”についての理解を深める記事
ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと
「TVやネットのニュースで耳にするけど、実際そんなに重大な問題なの?」という方は、まずこの記事を読むことをお勧めします。
問題となっている「OpenSSL」についてや、サーバー側で対処すべき方法などについてシンプルにまとめられています。
Heartbleedは一般的なウェブ・ユーザーにとってなじみのある脆弱性でない。そのため、それがなぜそれほど重大なのか、またデータを安全にしておくためには何ができるかについて、ここでなるべく分かりやすく紹介したい。
ASCII.jp:ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと
[ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの?
OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics from Elastica Inc on Vimeo.
先ほどの記事でいまいちピンと来なかった方は、こちらの動画を見てみましょう。
言葉よりも動画のほうがわかりやすい場合もあります。
Heartbleed(心臓出血)て何のこと? 具体的にどういうバグなの? 何がどうたいへんなの? このKhan Academyの教材みたいな†ビデオが、説明に努めている。
Heartbleed Bugはこうしてデータを盗む、のわかりやすい6コマ漫画
よりHertbleedについてわかりやすくまとめたものとしては、こちらの記事が最適です。
このバグを悪用して、データを盗み取る方法が6コマの漫画でまとめられています。
「(本当は3文字なのに)500文字のHATを返して」ときけば、サーバは「HAT」に続く497文字分の情報を返してくれます。
だから、Heartbeatを根気よく続ければ、HAT以下のデータを延々と返してもらえることになります。Heartbleed Bugはこうしてデータを盗む、のわかりやすい6コマ漫画:海外速報部ログ:ITmedia オルタナティブ・ブログ
壊滅的バグ・Heartbleedを追加した人物へのインタビュー
こちらは「Heartbleed」バグを持ったコードを追加したその人へのインタビュー記事です。
バグ確認の重要性をひしひしと感じます。
「非常にシンプルなバグであり、修正もごく一部ですむ」とハント氏は書いている。「問題は、50万に及ぶと見られる脆弱なウェブサイトで修正が必要なことだ」
Heartbleed情報アップデート:国内でもHeartbleedを狙うパケットの増加を観測
こちらは実際に攻撃を受けたのではないかと思われるパケットが増加しているというニュースです。
「JPドメインでは1195サイトのうちの534サイトが脆弱で、実に45%が脆弱性を抱えている」という恐ろしい事実も発表されています。
Heartbleedの脆弱性は、攻撃を受けてもその痕跡は残らず、被害が生じたかどうかの確認が困難だ。しかも脆弱性が明らかになった数日後には、Heartbleedの脆弱性を狙う実証コードが公開された。
NSA、「Heartbleedを2年前から悪用してきた」報道を否定
実際はチェックミスが原因でしたが、一時は「NSAなどによる陰謀説」も唱えられていました。
「知っていて悪用していたのでは?」という声にNSAが否定の声明を発表しています。
「米国家安全保障局(NSA)は少なくとも2年前からHeartbleedの脆弱性を認識し、情報収集に利用してきた」というBloombergの報道をNSAがTwitterで否定し、声明文を発表した。
“Heartbleed”から身を守るための記事
続いてHearbleedから自身・会社の身を守るために知っておきたい情報をまとめた記事です。
”HeartBleed”バグの影響を受けるAndroidアプリをチェックできるスキャナーアプリ「Bluebox Heartbleed Scanner」がリリース
Heartbleedの影響はWEBサイトだけではありません。
AndroidアプリでHeartbleedが発生しているかを確認できるアプリがリリースされています。
”HeartBleed”と呼ばれるバグによる深刻な脆弱性の影響を受けるAndroidアプリをチェックできるスキャナーアプリ「Bluebox Heartbleed Scanner」がリリースされました。
Apple、OpenSSLの重大バグ「Heartbleed」による被害はなかったことを発表
Appleは公式のコメントとして「AppleのサービスでHeart bleedによる影響は受けていない」と発表しています。
そもそもOpen SSLを利用していないとのことですが、APPstoreやiTunesなどは安全とみて良さそうです。
「AppleのサービスにOpenSSLを利用したことは一度も無い」
Apple、OpenSSLの重大バグ「Heartbleed」による被害はなかったことを発表 | gori.me(ゴリミー)
Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧
Hearbleed対応が済んでいるサイトでも、今使用しているパスワードを変更することが自衛のために必須です。
ギズモードにてサイト一覧をまとめた記事がありました。
MashableがHeartbleedの影響を受けたWebサイトやパスワード変更を呼びかけているWebサイトのリストをまとめてくれました。
How To:「Heartbleed」から身を守るには–セキュリティ専門家に聞く
Heartbleedの厄介な点は「エンドユーザーからできる対処が限られていること」です。
重要な情報を入力しているサービスについては、かならず対応状況を確認しましょう。
自分のデータを預けている場合は、小規模企業にもためらわずに連絡を取り、安全であることを確かめること。TrustWaveのMiller氏は、YahooやImgurのような著名企業は間違いなくこの問題を知っているが、小規模企業は問題に気づいてすらいない可能性があるとしている。自分の情報が安全であることを積極的に確認しよう。
BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか
消失問題でニュースにもなったBitcoin。こちらもOpenSSLを使用しているため、自衛のための対応が必要となります。
あなたのBitcoinに触れるものはすべてアップデートすること。対策状態を公表していない取引所は使わないこと。OpenSSLのこのバグが存在するようになってから今日までの2年間で、あなたのユーザネームやパスワードが絶対に無事だったという保証はないから、Bitcoinのデータも含めて、何もかも変えること。あなたのオンライン生活の細部をちょっと知っただけで、ウォレットに侵入できるハッカーも、きっといる。
BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか | TechCrunch Japan
いかがでしたでしょうか。
「多くのサービスのパスワードを変更することになり、管理が大変になる」と予測してか、1Passwordなどのパスワード管理ソフトがセールを実施しています。
WindowsXP同様、こちらの問題についても早めの対処が重要となります。
aishipRのHeartbleed対応について
aishipRではHeartbleedにより発生している脆弱性については既に対応済です。
Heartbleed脆弱性検査などでも「問題なし」との結果が出ていますので、ご安心してご利用下さい。