is702

暗号通信ソフトの脆弱性で個人情報漏洩の恐れ

2014/04/15

独立行政法人情報処理推進機構(IPA)は4月11日、オープンソースの暗号通信ライブラリ「OpenSSL」の脆弱性について、改めて注意を呼びかけました。

この脆弱性では、攻撃者は痕跡をまったく残さず、PCのメモリから一度に64KBまでの情報を読み出すことが可能です。ほとんどは意味をなさないと思われますが、この少量の情報の中に、Webサービスで利用する暗号化通信のための秘密鍵や、ユーザ名、パスワード(多くの場合、暗号化されていない)、クレジットカード情報、また機密書類など、ユーザの重要な個人情報が含まれているケースもありえます。この脆弱性(CVE-2014-0160)は、「OpenSSL」の拡張機能「Heartbeat」に存在するため、通称「Heartbleed」と呼ばれています。

「OpenSSL」は、FacebookやInstagramなど、さまざまなWebサービスで広く利用されており、その影響が懸念されています。

今回、この脆弱性を悪用した攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されていることが、改めて判明しました。

これを受けトレンドマイクロでは、一般ユーザに対して、オンラインアカウントのパスワードの変更を検討するよう呼びかけています。アカウントが被害を受けないように、指示があればすぐにパスワードをリセットすること、特に金銭に関係するアカウントに関しては、不審な動きがないかを監視することを推奨しています。

また、管理するシステムにおいて該当するバージョンのOpenSSLを使用している場合は、OpenSSL Projectが提供する修正済みバージョンへアップデートすることが強く推奨されています。また、秘密鍵がすでに漏えいしている可能性があるため、ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定することが推奨されています。

  • ホスティングサービス(レンタルサーバー) OH!いいな
  • ファイル送信・受信・転送サービス センドファイル
  • 電話番号表示システム アイポップ
ホスティングサービス(レンタルサーバー) OH!いいな
ファイル送信・受信・転送サービス センドファイル
電話番号表示システム アイポップ