OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.20(金)

OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register)

国際 TheRegister

【分析】パスワードを漏らす OpenSSL のバグ、通称「Heartbleed」は非常に悪質で、「しばらくの間はインターネットを利用しないこと」が良い対策であるようにすら思われるものだ。

この幅広く利用されている暗号化ライブラリに見つかった欠陥は、誰もが手軽に、そして密かに、脆弱なシステム(あなたの銀行の HTTPS サーバからプライベート VPN に至るまで)に手をつけ、パスワードやログインクッキー、プライベート暗号キー、その他を盗むことができるようにする。

この 2014 年に、なぜ、そのようなことが起こりえたのか?

Metasploit による、このエクスプロイトのためのシンプルなスクリプトは、「OpenSSL1.0.1 から 1.0.1f を利用して TLS 暗号化を行っているシステム」からセンシティブなインメモリデータを抽出することができる。我々が聞かされている情報によると、このバグは「信頼されているHTTPS のウェブサイト、ならびにクライアントソフトウェア、メールサーバ、チャットサービス、その他、前述のバージョンの OpenSSL を使用したもの」の約 17.5%、約 50 万件に影響を及ぼすものであるという。

この脆弱性が月曜(編集部註:2014 年 4 月 7 日)に発表されたことを受け、現在では、かなりの数の大手ウェブサービスが修復を済ませた;あなたはこのツールを使って確認することができる(もちろん、利用は自己責任でお願いしたい)。だが、もしもあなたが影響を受けている場合は、OpenSSL のインストールを修復するだけでなく、くれぐれも以下のことを忘れないでほしい――キーの変更、セッションクッキーの削除、そしてあなたのデータの危険性の評価だ。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×