ECサイト構築クラウド型プラットフォーム

>年末年始休業につきまして

【本日】誠に勝手ながら、全社員研修のため、2017年4月20日(木)の13:00以降はお電話によるサポート受付を休止させていただきます。

モバイルファーストマーケティングラボ

【緊急】全ての人に見て欲しいHeartbleedに関する11の参考記事

【緊急】全ての人に見て欲しいHeartbleedに関する11の参考記事

世界中を騒がせている重大すぎるバグ「Heartbleed」。

自分の情報を守るため、そして情報流出によってビジネス上の信頼を失わないためにも最新情報を追い続けることが大事です。

「そもそもHeartbleedとはなにか?」から「今やるべきこと」まで、知っておきたい情報をまとめた11の記事をご紹介します。

“Heartbleed”についての理解を深める記事

ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと

「TVやネットのニュースで耳にするけど、実際そんなに重大な問題なの?」という方は、まずこの記事を読むことをお勧めします。
問題となっている「OpenSSL」についてや、サーバー側で対処すべき方法などについてシンプルにまとめられています。

Heartbleedは一般的なウェブ・ユーザーにとってなじみのある脆弱性でない。そのため、それがなぜそれほど重大なのか、またデータを安全にしておくためには何ができるかについて、ここでなるべく分かりやすく紹介したい。

ASCII.jp:ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと

[ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの?

先ほどの記事でいまいちピンと来なかった方は、こちらの動画を見てみましょう。
言葉よりも動画のほうがわかりやすい場合もあります。

Heartbleed(心臓出血)て何のこと? 具体的にどういうバグなの? 何がどうたいへんなの? このKhan Academyの教材みたいな†ビデオが、説明に努めている。

[ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの? | TechCrunch Japan

Heartbleed Bugはこうしてデータを盗む、のわかりやすい6コマ漫画

よりHertbleedについてわかりやすくまとめたものとしては、こちらの記事が最適です。
このバグを悪用して、データを盗み取る方法が6コマの漫画でまとめられています。

「(本当は3文字なのに)500文字のHATを返して」ときけば、サーバは「HAT」に続く497文字分の情報を返してくれます。
だから、Heartbeatを根気よく続ければ、HAT以下のデータを延々と返してもらえることになります。

Heartbleed Bugはこうしてデータを盗む、のわかりやすい6コマ漫画:海外速報部ログ:ITmedia オルタナティブ・ブログ

壊滅的バグ・Heartbleedを追加した人物へのインタビュー

こちらは「Heartbleed」バグを持ったコードを追加したその人へのインタビュー記事です。
バグ確認の重要性をひしひしと感じます。

「非常にシンプルなバグであり、修正もごく一部ですむ」とハント氏は書いている。「問題は、50万に及ぶと見られる脆弱なウェブサイトで修正が必要なことだ」

「わたしは不幸にも見逃した」:壊滅的バグ・Heartbleedを追加した人物へのインタヴュー ≪ WIRED.jp

Heartbleed情報アップデート:国内でもHeartbleedを狙うパケットの増加を観測

こちらは実際に攻撃を受けたのではないかと思われるパケットが増加しているというニュースです。
「JPドメインでは1195サイトのうちの534サイトが脆弱で、実に45%が脆弱性を抱えている」という恐ろしい事実も発表されています。

Heartbleedの脆弱性は、攻撃を受けてもその痕跡は残らず、被害が生じたかどうかの確認が困難だ。しかも脆弱性が明らかになった数日後には、Heartbleedの脆弱性を狙う実証コードが公開された。

Heartbleed情報アップデート:国内でもHeartbleedを狙うパケットの増加を観測 – @IT

NSA、「Heartbleedを2年前から悪用してきた」報道を否定

実際はチェックミスが原因でしたが、一時は「NSAなどによる陰謀説」も唱えられていました。
「知っていて悪用していたのでは?」という声にNSAが否定の声明を発表しています。

「米国家安全保障局(NSA)は少なくとも2年前からHeartbleedの脆弱性を認識し、情報収集に利用してきた」というBloombergの報道をNSAがTwitterで否定し、声明文を発表した。

NSA、「Heartbleedを2年前から悪用してきた」報道を否定 – ITmedia ニュース

“Heartbleed”から身を守るための記事

続いてHearbleedから自身・会社の身を守るために知っておきたい情報をまとめた記事です。

”HeartBleed”バグの影響を受けるAndroidアプリをチェックできるスキャナーアプリ「Bluebox Heartbleed Scanner」がリリース

Heartbleedの影響はWEBサイトだけではありません。
AndroidアプリでHeartbleedが発生しているかを確認できるアプリがリリースされています。

”HeartBleed”と呼ばれるバグによる深刻な脆弱性の影響を受けるAndroidアプリをチェックできるスキャナーアプリ「Bluebox Heartbleed Scanner」がリリースされました。

OpenSSLで発見された”HeartBleed”バグの影響を受けるAndroidアプリをチェックできるスキャナーアプリ「Bluebox Heartbleed Scanner」がリリース | ガジェット通信

Apple、OpenSSLの重大バグ「Heartbleed」による被害はなかったことを発表

Appleは公式のコメントとして「AppleのサービスでHeart bleedによる影響は受けていない」と発表しています。
そもそもOpen SSLを利用していないとのことですが、APPstoreやiTunesなどは安全とみて良さそうです。

「AppleのサービスにOpenSSLを利用したことは一度も無い」

Apple、OpenSSLの重大バグ「Heartbleed」による被害はなかったことを発表 | gori.me(ゴリミー)

Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧

Hearbleed対応が済んでいるサイトでも、今使用しているパスワードを変更することが自衛のために必須です。
ギズモードにてサイト一覧をまとめた記事がありました。

MashableがHeartbleedの影響を受けたWebサイトやパスワード変更を呼びかけているWebサイトのリストをまとめてくれました。

Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧 : ギズモード・ジャパン

How To:「Heartbleed」から身を守るには–セキュリティ専門家に聞く

Heartbleedの厄介な点は「エンドユーザーからできる対処が限られていること」です。
重要な情報を入力しているサービスについては、かならず対応状況を確認しましょう。

自分のデータを預けている場合は、小規模企業にもためらわずに連絡を取り、安全であることを確かめること。TrustWaveのMiller氏は、YahooやImgurのような著名企業は間違いなくこの問題を知っているが、小規模企業は問題に気づいてすらいない可能性があるとしている。自分の情報が安全であることを積極的に確認しよう。

How To:「Heartbleed」から身を守るには–セキュリティ専門家に聞く – CNET Japan

BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか

消失問題でニュースにもなったBitcoin。こちらもOpenSSLを使用しているため、自衛のための対応が必要となります。

あなたのBitcoinに触れるものはすべてアップデートすること。対策状態を公表していない取引所は使わないこと。OpenSSLのこのバグが存在するようになってから今日までの2年間で、あなたのユーザネームやパスワードが絶対に無事だったという保証はないから、Bitcoinのデータも含めて、何もかも変えること。あなたのオンライン生活の細部をちょっと知っただけで、ウォレットに侵入できるハッカーも、きっといる。

BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか | TechCrunch Japan

よりHeartbleedについて知りたい方はこちら
よりHeartbleedについて知りたい方はこちら

いかがでしたでしょうか。

「多くのサービスのパスワードを変更することになり、管理が大変になる」と予測してか、1Passwordなどのパスワード管理ソフトがセールを実施しています。

WindowsXP同様、こちらの問題についても早めの対処が重要となります。

aishipRのHeartbleed対応について

aishipRではHeartbleedにより発生している脆弱性については既に対応済です。

Heartbleed脆弱性検査などでも「問題なし」との結果が出ていますので、ご安心してご利用下さい。

”スマホで売れる”ためには必須の「レスポンシブECサイト」とは?

CTA-IMAGE 2019年、ECサイトの利用者は今やスマ―トフォンからが7割を超え、市場のニーズは完全にPCからスマホに転換しました。
また、検索エンジン大手のGoogleも「モバイルファーストインデックス」を打ち出し、スマホ対応の手段として正式に「レスポンシブWEBデザイン」を推奨しています。 そのような背景から、昨今のEC市場ではスマートフォンへの適切な対応が急務となっており「レスポンシブECサイト」のニーズが非常に高まってきています。本パンフレットではECサイト運営を取り巻く環境の変化を、レスポンシブECサイト構築導入実績No.1のプラットフォームである「aishipR」の機能や実績を踏まえながらまとめました。

・レスポンシブECサイトがなぜ今選ばれるのか
・これまでのECサイトの課題とは何なのか
・どのようにすれば解決できるのか

といったノウハウから、プラットフォーム変更で得られる効果の実例まで網羅して解説しています。
ECサイトの運営されておられる経営者様だけでなく、運営担当者様にも必ずお役に立つ内容となっておりますので、是非ご活用ください。
機能のご確認はお気軽にお問合せ、もしくは2週間無料お試し利用で。
aishipRの無料体験、お問合わせはお気軽に。説明会・資料請求も受付中。
0120-173-163
0120-173-163
無料体験
  • 無料体験
  • 問合せ
  • 説明会
  • 資料請求
  • 問合せ
  • 説明会
  • 資料請求
+