Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Heartbleed」に対し一般ユーザーが注意すべきこと - IPAが解説

暗号化通信に利用されるライブラリ「OpenSSL」に深刻な脆弱性「Heartbleed」が見つかった問題で、情報処理推進機構(IPA)は一般のウェブサイト利用者がとるべき対策を紹介した。

問題とされる脆弱性「CVE-2014-0160」は、「OpenSSL」においてメモリ上のデータが外部へ漏洩する脆弱性。「Heartbleed」とも呼ばれている。悪用されると、ウェブサイトから暗号化通信に利用する「秘密鍵」をはじめ、利用者のユーザー名、パスワードなど重要な情報が漏洩するおそれがある。

同機構では、今回の脆弱性の影響について、「秘密鍵の漏洩」と「利用者情報の漏洩」にわけ、秘密鍵が漏洩した場合、暗号化通信が解読されたり、偽サイトを作成される場合があると指摘。

またパスワードが漏洩した場合は、取得した攻撃者がそれら情報を用いてサイトにログインし、利用者本人になりすまして不正行為を行うおそれがある。

こうした被害を防ぐためには、利用サイトにおける「OpenSSL」の脆弱性への対応状況を、適切に確認することが重要だと指摘。メールによるアナウンスは、「なりすまし」である可能性もあるため、そのほかの手段を用いて対応状況を確認するよう呼びかけている。

またウェブサイトに脆弱性が存在した場合、サイト側では修正後に証明書が再発行する必要があるが、利用者側としても、失効した証明書を把握できるよう、ウェブブラウザを正しく設定しておかなければ意味がない。

またサイトのアカウント情報が漏洩したおそれがある場合は、利用者はパスワードの変更など対応する必要がある。ただし、脆弱性が修正されていない場合は、パスワードを変更しても再びパスワードを盗まれるおそれもあるため注意が必要。

(Security NEXT - 2014/04/17 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

脆弱性対策ベンダーが「Log4Shell」を「最悪の脆弱性」と評価した理由
10月は「Emotet」が急増 - 3カ月間の休止経て
旧通販サイトでクレカ情報流出、原因は「Heartbleed」 - スイーツ通販サイト
脆弱な「Drupal」サイトをボット化、仮想通貨発掘させる攻撃が発生
Apacheにメモリ漏洩の脆弱性「Optionsbleed」 - 「Heartbleed」直後に判明するも修正されず
目立つ「HeartBleed」関連インシデント - ラック報告
2015年4Q、組織内部からの不審通信が増加 - 汚染iOSアプリに起因
DBD攻撃の悪用脆弱性、99%が「Flash Player」 - 「Java」への攻撃は鎮静化
サイト改ざんは収束傾向 - 「ShellShock」や「Heartbleed」が影響
「GHOST」はおそれずに足らず、冷静な対応を - 米Trend Microが指摘