Heartbleedの危険に関する補足情報

世界中のヘッドラインを賑わしている「Heartbleed」と呼ばれるバ グについて、OpenSSLプロジェクトが緊急セキュリティアドバイザリを発表しま した。Heartbleedは、OpenSSLの重大な脆弱性です。OpenSSLは、 インターネット上の少なくとも約半数のウェブサイトでセキュリティを確保する ために使われており、安全であるはずのインターネット上の通信に対する悪意の あるハッカーによる盗み見を可能とします。

この問題は、Integoの製品で保護できる種類の危険ではありませんが、できるだ け多くの有用な情報をお客様に提供したいと考えています。MacおよびiOSのユー ザは、まず、お使いの環境にこのバグがどう影響するのか知るために、Heartbleedに関するFAQを参照ください。

Macユーザは、Hearbleedに対して「安全」なのか？

先週、OS XおよびOS X ServerがHeartbleedに対して「安全」であるとの報告が 公開されました。残念ながら、Graham Cluley氏がMacおよびiOSユーザのための Heartbleedに関するFAQに書いた通り、Macを使ってもHeartbleedに対して安全ではありません。 繰り返しになりますが、Apple製品が「安全」だとしても、暗号化されたデータ 通信が安全ではないのです。

Heartbleedバグは、本来ならSSL/TLSによって保護されているはずの情報の漏洩 を可能とします。そして皆さんが使っている多くのウェブサイトとインターネッ トサービスに影響します。サービスが暗号化されたデータ通信を実現するために OpenSSLを使っていると、使っているのがMacでもWindowsでも、データは危険に さらされます。

どうしたら良いのか？

影響されるサイトを使っているなら、このセキュリティバグによってお使いのパ スワードが盗まれた可能性がありますから、バグが修正されたらパスワードを変 更する必要があります。ウェブサイトでパスワードを変更する場合は、必ず事前 にサイトがHeartbleedに対して安全かどうかを確認してください。なお、影 響されるサービスが修正されてHearbleedの脆弱性が除去されたことが確認でき るまで、パスワードを変更してはいけません。

パスワードの変更が可能になっても、そのすべてを管理するのが面倒くさくて変 更を躊躇するようなら、MacおよびiOS用のパスワードマネージャのリストを用意し たので参考にしてください。

危険なウェブサイトの確認

サイトが危険かどうかは、次の特殊な検索ツールで確認できます: http://filippo.io/Heartbleed

さらなる情報のリソース

Heartbleedの概要については、The Wireが上手にまとめています。その記事では、サーバ 一一台ずつ手動で修正が必要で、すぐに修正できないこともあり得るため、完全 に修正されるまでしばらくかかるとしています。つまり、当面はサイト毎に Hearbleedの危険について確認しながらサイトを利用する必要があります。影響 されるサイトが修正されるまでは、そのサイトの利用を控えることを強くお勧め します。

サイトが影響されるかどうかは、前出の検索ツールで確認できます。あるいは、 Mashableが提供する影響されるメジャーブランドのリスト も参考になるでしょう。

それ以外に、データを守る方法はあるのか？

お客様のデータが危険なサイトに入力されてしまったら、アンチウイルス・ソフ トでもどうにもできませんが、それでもお使いのMacとデータを既知のマルウェ アおよび危険なアプリケーションから保護するために、弊社のInternetセキュリティでの保護の重層化アプローチを採用することには意味がある と、弊社では考えています。

Posted on April 15th, 2014 by Derek Erwin
intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

Heartbleed OpenSSLバグに関する、Mac、iPhone、およびiPadユーザのためのFAQ

ここ数日の間に、Heartbleedと呼ばれるバグに関する報道を何かしら目にしたこ とでしょう。今回は、この問題に対してApple製品のユーザが持つであろう典型 的な疑問に対する回答を書きたいと思います。

そもそも、Heartbleedバグとは何なのか？

Heartbleedバグは、普通なら安全なはずのインターネット通信を悪意のあるハッ カーがスパイすることができる重大な脆弱性です。広く普及しているOpenSSLソ フトウェアライブラリ内のプログラムのバグが、通常ならSSL/TLS暗号化で保護 されているはずの情報の漏洩に繋がるというものです。

盗まれる可能性がある情報には、電子メールアドレスとパスワード、あるいはプ ライベートな通信など、通常「安全な経路」を使って転送されていると考えられ るものが含まれています。

なお、このバグはHearbleedと呼ばれていますが、公式な名称はCVE-2014-0160という面倒くさそうなものです。

このバグは、どれくらい前から存在するのですか？　聞いた感じだと、 かなり重大な問題みたいですが。

はい、非常に重大です。落ち着いてください。もう２年くらい前から存在してい たようです。

もう何年間も個人情報が盗まれる状態が続いていたんでしょうか？

はい、そうです。

実際に被害はあったんですか？　この方法で情報が盗まれたことはあり ますか？

はっきりとは分かっていません。このバグを悪用しても痕跡が残りませんので、 誰かが情報を盗んでも分からないのです。ただし、ここ数日の間に多くの人達が バグを悪用して情報を盗めることを証明しています。

脆弱性があるのは、OpenSSLのどのバージョンですか？

OpenSSL 1.0.1から1.0.1fまでに脆弱性があります。OpenSSL 1.0.1g、OpenSSL 1.0.0ブランチ、およびOpenSSL 0.9.8ブランチには脆弱性はありません。

Macを使っていても危険があるのでしょうか？　iPhoneやiPadはどうで しょう？

残念ながら、このバグはインターネット通信に使っている端末の種類を問いませ ん。つまり、iPhone、iPad、そしてMacもWindows 8.1も、危険性は同じです。

修正されるのですか？

はい。OpenSSLの新バージョンである1.0.1gが今週公開されました。インター ネット企業は、危険なサーバおよびサービスを全速力で更新しようとしていま す。元々危険でないサイトもありますし、サイトによってはすでに修正が終わっ ています。

メジャーなウェブサイトにもHeartbleedバグの脆弱性があるのですか？

米国のYahooってメジャーですよね？　研究者がこのバグを利用し、米Yahooの多くのユーザのパスワードおよび電子メールアドレ スを入手してみせました。影響を受けるその他のメジャなウェブサイトとし ては、Flickr、Imgur、OKCupid、Stackoverflow、そしてEventbriteが報告され ています。

Appleがこのバグのためにパッチを公開することはありますか？

残念ながら、これはAppleのソフトウェアやハードウェアのバグではありませ ん。このバグは、ウェブサーバおよびネットワーク対応機器がセキュアなSSL接 続を確立するために使っているオープンソースソフトウェア内に存在していま す。言い換えれば、ウェブサイト自体に問題があるわけですから、お使いのコン ピュータやスマートフォン、あるいはタブレットではパッチできないのです。

なお、OS X Mavericks 10.9と一緒に出荷されているOpenSSLのバージョンには、 このバグは影響しません。

ウェブサイトにHeartbleedバグの影響があるかどうかを知ることはでき ますか？

多くのウェブサイトが、サーバに脆弱性があるか調べる試験を作成しています。 興味があれば、https://ssllabs.com/ssltest/、あるいはhttp://filippo.io/Heartbleed/を確認してください。

Appleのウェブサイトは安全ですか？　脆弱性の影響を受けますか？

試験によれば、Apple自身のウェブサイトはこのバグの影響を受けません。

Heartbleedについて、もっと詳しく知りたいのですが？

Codenomiconの人達によるall about the Heartbleed bugというウェブサイトを参 照ください。

About Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker.
He has been working in the computer security industry since the early 1990s, having been employed by companies such as Sophos, McAfee and Dr Solomon's. He has given talks about computer security for some of the world's largest companies, worked with law enforcement agencies on investigations into hacking groups, and regularly appears on TV and radio explaining computer security threats.

Graham Cluley was inducted into the InfoSecurity Europe Hall of Fame in 2011, and was given an honorary mention in the "10 Greatest Britons in IT History" for his contribution as a leading authority in internet security.

Follow him on Twitter at @gcluley.
View all posts by Graham Cluley →

Posted on April 9th, 2014 by Graham Cluley