2014年4月25日金曜日

破壊的なバグ「ハートブリード」、パスワード流出も!4つのセキュリティ対策とは?

  • このエントリーをはてなブックマークに追加
「Heartblead(ハートブリード)」というセキュリティ上の脆弱性が
4月7日に明らかにされました。

みなさん、今、世界を震撼させているこのニュースをご存知でしょうか?

「ハートブリードって何?」
「自分は関係ないな~」

・・・・・・・という方は要注意です!!!

ネット・セキュリティ界において、極めて深刻と言われるこの問題、
何も知らずに放っておくと、大変な事態に直面する可能性があります(((;゚Д゚))

今回は、ハートブリードとは何なのか、
個人でできるセキュリティ対策をまとめました。

さぁ、今すぐ過去最悪級のバグ問題について知って、対策しましょう!!


--------------------------------------------------
■ 過去最大級のバグ問題「ハートブリード」って何?
--------------------------------------------------

一般的に、ネットショッピングやカード決済など、個人情報を入力するWebサービスの
多くでは、OpenSSLという暗号通信ソフトウェアが使われています。

ネットワーク機器には「Heartbeat(ハートビート)」と呼ばれる、通信状態を
確認する機能があります。
今回発覚したのは、OpenSSLを実装するサーバに対して、リモート側より細工を施した
データを送信すると、サーバのメモリ上の情報が読み出される可能性があることが分かったのです。

このハートビート上の欠陥(脆弱性)を、ハートブリードと呼んでいます。

ハートブリードの意味は心臓出血。
それくらい恐ろしいバグということです・・・!
今まで安全だと思っていた、様々なWebサービスで
個人情報などの大切な情報が盗まれてしまうかもしれないのです(>_<)


          ( 画像:バグの危険性を知らせるサイト http://heartbleed.com/ より)


--------------------------------------------------
■ ハートブリードのセキュリティリスクとは?
--------------------------------------------------

ハートブリードにより、サーバからデータが読み出されると、
認証やトラフィックの暗号化に使われる秘密鍵のほか、
ユーザー名やパスワードなどの情報が盗まれる可能性があります ∑(゚д゚lll)

大切なパスワードが盗まれると、メールの乗っ取りやクレジットカードの
不正使用など、様々な被害にあうかもしれません・・・!
本当にコワイですよね(>_<)

また、タチが悪いのが、OpenSSLの脆弱性をついた攻撃となるため、
システム上は「不正使用」として認識されず、被害が発生してからでないと
攻撃されたことが認識できないのも問題です。


--------------------------------------------------
■ 国内でもすでに脅威が発生!
--------------------------------------------------

国内でもすでにハートブリード関連の脅威が発生しています。

三菱UFJニコスは4月18日、Webサービスから
894人分の個人情報が流出した恐れがあることを明らかにしました。
同社は4月11日にハートブリードの脆弱性を狙った不正アクセスを検知しています。

また、4月16日、日本IBMでもハートブリードによる攻撃を
日本国内複数のTokyo SOC顧客で検知したと発表しましたが、
こちらは被害は確認されていません。


--------------------------------------------------
■ 今すぐできる、4つのセキュリティ対策は?
--------------------------------------------------

最も早急に必要なのは、サービスを提供する企業側の対処でしょう。
OpenSSLを最新版にアップグレードし、証明書の再設定などの対応が求められます。


「企業任せなの?個人ではどうすることもできないの?」

いえ、ユーザー側のセキュリティ対策は重要です!


===================================

【個人がすべき4つのセキュリティ対策】

◎ 企業の情報公開によって、影響を受けていることがわかったサイトのアカウントには、
  その企業が問題にパッチを適用したこと公開するまでログインしない

→ 企業が積極的に情報を公開していない場合、カスタマーサービスに連絡して
  情報提供を求めることをおすすめします。

◎ 脆弱性の有無をチェックできるサイトを活用する
  自分が利用したいサービスの安全性を確認することができるので
  心配な方はチェックしてみるのもオススメです。
  参考:LastPass Heartbleed checker
     https://lastpass.com/heartbleed/

◎ 安全性が確認できたら、必要に応じてパスワードの変更をおこなう
→ 脆弱性のあるサイトでのさらなるアクティビティは、
  問題を悪化させる可能性があるので、サイト側の対策が実施された後に、
  注意喚起に従い、ログインパスワードを変更してください。

◎ 当分の間、「ネットバンキング」や「ショッピングサイト」などの
  ネットを介した取引で、不正な引き落とし等が発生していないか確認をする


===================================

過去最悪級のバグで被害にあわないよう、しっかり対策していきたいですよね!

ESETセキュリティソフトは、OpenSSLを利用しておらず、本脆弱性の
影響がないことが確認されていますので、安心してお使いくださいね(*´v`*)

ご家族、お友達にも、ぜひぜひ情報をシェアしてくださ~い!
ページ下部の「いいね!」「ツイート」「g+1」「B!」をポチッと押してもらえると嬉しいです♪


-------------------------------------------------------
■ メールマガジンについて
-------------------------------------------------------

今回のセキュリティニュースはいかがでしたか?
お役立ち情報満載のセキュリティマガジンは、
どなたでも無料でご購読いただけます (*゚▽゚)ノ

メールマガジン購読お申し込み

みなさんのお申し込みを心よりお待ちしています♪


-------------------------------------------------------

【参考サイト】
[ESET] OpenSSLの脆弱性(Heartbleed:ハートブリード)に関する注意喚起
http://canon-its.jp/product/eset/sn/sn20140415.html
[ITmedia]OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も
http://www.itmedia.co.jp/enterprise/articles/1404/09/news041.html


-------------------------------------------------------
■ 免責事項について
-------------------------------------------------------
記事の内容には細心の注意を払っておりますが、
掲載された情報の誤り、内容を実施したことによって生じた不具合や
トラブル等に関して、ChatWork株式会社は一切責任を負わないものとします。

くれぐれもユーザー様ご自身の責任のもとでおこなっていただきますよう
お願いいたします。

  • このエントリーをはてなブックマークに追加

ページの先頭に戻る