is702

OpenSSL脆弱性に対してできること

2014/04/17

トレンドマイクロは4月17日、同社ブログで、「OpenSSLのHeartBleed脆弱性に対し、我々が注意すべきこととは?」と題する記事を公開しました。我々が注意すべきことを、一般ユーザ、Webサイト管理者、アプリケーション開発者の3つの観点からまとめています。

まず同社では、今回のHeartBleed脆弱性を使った攻撃でも、金銭に繋がる情報を狙ってくる可能性が今後高いことを指摘。そのうえで、一般ユーザがすべきこととして、「情報の送信先となるWebサイトがHeartBleed脆弱性の影響を受けないことを確認する」「サーバのSSL証明書がOpenSSLのアップグレード後、新しいものに置き換えられているかを確認する」さらに、「自分が普段使用しているブラウザがサーバ証明書の失効検証を行う設定になっているかを確認する」ことの3点をあげています。

Webサイト運営者がすべきこととしては、「OpenSSLを脆弱性が解消されているバージョン(現在の最新版は1.0.1g)へアップグレードする」「SSL証明書の失効と、新しい鍵ペアを用いて発行した新証明書との置換」の2点をあげています。

そしてモバイルアプリ、Webアプリを含むすべてのアプリケーション開発者がすべきこととして、「OpenSSLを使用している場合、使用目的がサーバであるかクライアントであるかによらず、脆弱性が解消されたバージョン(現在の最新版は1.0.1g)にアップグレードすること」「アプリケーションがクライアントとしてSSL通信を行う場合は、OpenSSLを使用しているかどうかに関係なく、重要な情報の送信先がそれにふさわしいかをしっかりと確認すること」の2点をあげています。