Symantecによる「Heartbleed」の状況整理と対策方針(シマンテック) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.20(土)

Symantecによる「Heartbleed」の状況整理と対策方針(シマンテック)

4月16日、都内で行われた株式会社シマンテックの記者発表会において、同社Trust Services プロダクトマーケティング部 上席部長 安達徹也氏が、OpenSSLの脆弱性(Heartbleed)について言及した。

脆弱性と脅威 セキュリティホール・脆弱性
4月16日、都内で行われた株式会社シマンテックの記者発表会において、同社Trust Services プロダクトマーケティング部 上席部長 安達徹也氏が、OpenSSLの脆弱性(Heartbleed)について言及した。

Heartbleedとは、OpenSSLの拡張機能「Heartbeat」を利用している場合に、SSL通信を行うためのチェック機能を果たしていないバグを突いた攻撃のことである。Heartbleedは、「SSL暗号通信を行うサーバ」「OpenSSLの特定のバージョン(1.0.1から1.0.1f)」「拡張機能Heartbeatの利用」で問題が発生する。

影響範囲は、上記条件に該当するWebサイトと、そのWebサイトに個人情報を入力した利用者。Heartbleedの脆弱性を狙われると、パスワードやクレジットカード等の個人情報のみならず、通常は漏えいすることのないサーバの秘密鍵が漏えいする。秘密鍵が漏えいすると、SSL暗号通信が解読され、偽のコピーサイトが作られる等の恐れがある。

Alexaの調査結果によると、日本時間4月16日0時時点で、上位1,000のWebサイトにおいては脆弱性への対策が済んでおり、上位50,000のWebサイトでHeatlbleedに対し脆弱なサイトは1.8%である。

安達氏は、Webサイト管理者の対策として、「OpenSSLを修正版(1.0.1g)に更新する、またはHeartbeat機能を使わない」「OpenSSLの更新後、サーバ証明書を再発行し証明書を入れ替え、古い証明書を失効させる」を挙げた。また、Webサイト利用者へ「利用しているWebサイトからのパスワード変更を喚起されたら速やかに実施する」「パスワード更新ページのURLを確認し、フィッシングメールである可能性に注意する」「銀行口座やクレジットカードの明細で不審な取引がないか確認する」といった対策を行うよう呼びかけた。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×