ショップハンター

2014.04.12
XML

 昨晩、楽天プロフィールの方に流した Heartbleed (心臓出血)バグについて、その重大性と対策について大まかに語ってみたいと思います。

network

 楽天プロフィールのつぶやきはこちら

データが暗号化されているからといって決して安全とは言えない


 みなさんは、Web サイトにアクセスする際、https:// で始まるリンクにお気づきになったことがあると思います。
 この http の後に付けられた s が、Web 情報を暗号化する通信プロトコルを使ってデータの送受信をするという意味になります。

 大手 Web サービスで、ユーザアカウントを使ったログインを求めるページや、ユーザの個人情報を入力する必要のあるページのほとんどが、この https プロトコルを使った通信を行っています。
 楽天サービスでも、ログインページの URL を注意深くご覧になると、https:// で始まっていることにお気づきになるでしょう。

 データを暗号化することによって、悪意を持った第三者による不正アクセスがあってもデータを解読できないように工夫が凝らされているわけです。

 Web サーバというと、単体で動作する機械のようなものを想像される方もいらっしゃるかもしれませんが、Web サーバプログラムというソフトウェアがインストールされたコンピュータを指すものですので、やろうと思えば個人のノートパソコンでも Web サーバプログラムをインストールして設定すれば、個人のパソコンを Web サーバとして全世界に公開することができます。

 Web サーバプログラムには様々な種類がありますが、その中でも大手サイトが好んで使う Web サーバプログラムに Apache があります(楽天も確か Apache だったと思います)。

 Web サーバに実装できる OpenSSL という暗号化ライブラリ群があるのですが、Apache Web サーバの半数近くに OpenSSL が実装されていると言われています。

 今回、その OpenSSL に重大なバグ(通称 Heartbleed)が見つかり、クラッカーにより攻撃を受けた Web サーバは、SSL を搭載していてもアカウント情報、パスワード情報、個人情報を含むサーバコンテンツの盗難被害に遭う危険性が指摘されています。

Web サービスを利用している方は、いますぐパスワードの変更を


 一般訪問者は、Web サービス提供側がどんな Web サーバプログラムを使っているのかを知ることはほとんどないでしょう。

 ごくまれに、Web サーバが吐き出すエラーメッセージでプログラム名とバージョンを知ることもできますが、大手の Web サーバはオリジナルのエラーページを返すようにしているところが多いため、そのサーバが安全かどうなのかを部外者が判断するのは難しいといえましょう。


 サーバが攻撃を受ける可能性を考慮すると、大切な個人情報を Web サーバに預けている以上は、どうしても各人のセキュリティ対策が必要になってきます。

 昨晩、楽天プロフィールの方でご紹介した記事の殺害予定リストに挙げられていた大手 Web サービスのなかから、特に注意が必要と感じたものを挙げてみます。

 Facebook
 Instagram
 Pinterest
 Tumblr
 Google
 Yahoo
 Gmail
 Yahoo Mail
 Amazon Web Services
 Flickr
 Netflix
 YouTube
 Dropbox
 GitHub

 
参考記事:The Heartbleed Hit List: The Passwords You Need to Change Right Now [外部リンク]

 すでに上記のサーバでは Heartbleed 対策が進められている可能性は高いのですが、既存のサーバデータがすでに外部に持ち出されてしまっている可能性もゼロとは言えません。

 ですから、上記のサービスをお使いの方はもちろんのこと、日本国内の Web サービスでも個人情報を登録しているものについては、今すぐにでもパスワードを変更されることを強くおすすめします。

 当方には、Pinterest からこのようなパスワードリセット要求のメールが届きました。
 Pinterest はすでに OpenSSL 対策を施したとのことですが、念のためパスワードを変更してほしいという内容になっています。

Pinterest からのメール (クリックで原寸表示)


 過去にも、楽天のログイン情報の扱いに関する記事を投稿しておりますので、併せてご覧いただけると幸いです。

 楽天でいつもと様子が違うと思ったら、ログイン履歴をチェックしてアラートを設定しよう


その他の参考記事[外部リンク]:

今すぐパスワード変更を―セキュリティー脅かす「Heartbleed」
覚えやすくて破られにくいパスワードのつけ方




web拍手 by FC2 ←こちらからこっそりコメントでけます








最終更新日  2014.05.05 23:11:40
[楽天ブログ・アフィリエイト関連] カテゴリの最新記事

PR

サイド自由欄

キーワードサーチ

▼キーワード検索

日記/記事の投稿


Copyright (c) 1997-2019 Rakuten, Inc. All Rights Reserved.