全て
| カテゴリ未分類
| 送料無料ショップ
| 絶対買わなきゃ損
| レアもの
| ショッピング技
| 美容・健康
| 当ブログオリジナル
| 楽天ブログ・アフィリエイト関連
| 元気が出る話
| 楽天プロフィール関連
| なんちゃってレビュー
| 生活向上チャレンジ
| テキトーな映画レビュー
| 業務連絡
カテゴリ:楽天ブログ・アフィリエイト関連
昨晩、楽天プロフィールの方に流した Heartbleed (心臓出血)バグについて、その重大性と対策について大まかに語ってみたいと思います。 楽天プロフィールのつぶやきはこちら データが暗号化されているからといって決して安全とは言えないみなさんは、Web サイトにアクセスする際、https:// で始まるリンクにお気づきになったことがあると思います。 この http の後に付けられた s が、Web 情報を暗号化する通信プロトコルを使ってデータの送受信をするという意味になります。 大手 Web サービスで、ユーザアカウントを使ったログインを求めるページや、ユーザの個人情報を入力する必要のあるページのほとんどが、この https プロトコルを使った通信を行っています。 楽天サービスでも、ログインページの URL を注意深くご覧になると、https:// で始まっていることにお気づきになるでしょう。 データを暗号化することによって、悪意を持った第三者による不正アクセスがあってもデータを解読できないように工夫が凝らされているわけです。 Web サーバというと、単体で動作する機械のようなものを想像される方もいらっしゃるかもしれませんが、Web サーバプログラムというソフトウェアがインストールされたコンピュータを指すものですので、やろうと思えば個人のノートパソコンでも Web サーバプログラムをインストールして設定すれば、個人のパソコンを Web サーバとして全世界に公開することができます。 Web サーバプログラムには様々な種類がありますが、その中でも大手サイトが好んで使う Web サーバプログラムに Apache があります(楽天も確か Apache だったと思います)。 Web サーバに実装できる OpenSSL という暗号化ライブラリ群があるのですが、Apache Web サーバの半数近くに OpenSSL が実装されていると言われています。 今回、その OpenSSL に重大なバグ(通称 Heartbleed)が見つかり、クラッカーにより攻撃を受けた Web サーバは、SSL を搭載していてもアカウント情報、パスワード情報、個人情報を含むサーバコンテンツの盗難被害に遭う危険性が指摘されています。 Web サービスを利用している方は、いますぐパスワードの変更を一般訪問者は、Web サービス提供側がどんな Web サーバプログラムを使っているのかを知ることはほとんどないでしょう。 ごくまれに、Web サーバが吐き出すエラーメッセージでプログラム名とバージョンを知ることもできますが、大手の Web サーバはオリジナルのエラーページを返すようにしているところが多いため、そのサーバが安全かどうなのかを部外者が判断するのは難しいといえましょう。 サーバが攻撃を受ける可能性を考慮すると、大切な個人情報を Web サーバに預けている以上は、どうしても各人のセキュリティ対策が必要になってきます。 昨晩、楽天プロフィールの方でご紹介した記事の殺害予定リストに挙げられていた大手 Web サービスのなかから、特に注意が必要と感じたものを挙げてみます。 Tumblr Yahoo Gmail Yahoo Mail Amazon Web Services Flickr Netflix YouTube Dropbox GitHub 参考記事:The Heartbleed Hit List: The Passwords You Need to Change Right Now [外部リンク] すでに上記のサーバでは Heartbleed 対策が進められている可能性は高いのですが、既存のサーバデータがすでに外部に持ち出されてしまっている可能性もゼロとは言えません。 ですから、上記のサービスをお使いの方はもちろんのこと、日本国内の Web サービスでも個人情報を登録しているものについては、今すぐにでもパスワードを変更されることを強くおすすめします。 当方には、Pinterest からこのようなパスワードリセット要求のメールが届きました。 Pinterest はすでに OpenSSL 対策を施したとのことですが、念のためパスワードを変更してほしいという内容になっています。 (クリックで原寸表示) 過去にも、楽天のログイン情報の扱いに関する記事を投稿しておりますので、併せてご覧いただけると幸いです。 楽天でいつもと様子が違うと思ったら、ログイン履歴をチェックしてアラートを設定しよう その他の参考記事[外部リンク]: 今すぐパスワード変更を―セキュリティー脅かす「Heartbleed」 覚えやすくて破られにくいパスワードのつけ方 ←こちらからこっそりコメントでけます お気に入りの記事を「いいね!」で応援しよう
最終更新日
2014.05.05 23:11:40
[楽天ブログ・アフィリエイト関連] カテゴリの最新記事
|
|