【緊急】OpenSSLのHeartbleedに重大な脆弱性を発見 詳細と対策方法

皆さん゚*。(o’∀’)b。*゚こんにちは♪ 今回は少し時間がたってしまったが、先日インターネット上で多く使われているApacheサーバーなどが対象なのですが、OpenSSLの中のHeartbleedに重大な脆弱性を発見されたことでニュースになりました(゚д゚)!

それもそのはず、このOpenSSLの脆弱性は危険レベルが高く、この脆弱性を使って不正アクセスを行い、簡単にパスワードなどが奪えるというものです。この脆弱性は2年前から存在していて、この脆弱性の怖いところは、不正アクセスされても痕跡が残らないところなのです(;・∀・)

OpenSSLのHeartbleedとは・・・?

2011年12月31日からOpenSSLに混在して、最近にGoogleのセキュリティチームによって発見された脆弱性は改善パッチとして混在し、OpenSSL 1.0.1に使われていました(;・∀・) このHeartbleedを使って攻撃すると、SSLの証明書やパスワード・クッキーなどが奪えるというものです(;・∀・)

詳しくはWikiに書いてあるので参考までに(o・∀・o)
http://ja.wikipedia.org/wiki/ハートブリード

対策方法(クライアント)

サーバー管理者やSEの話だろ・・・ と思っている皆さんも対策が必要です(;・∀・) 2年前からも存在していたこの脆弱性は幅広いサーバーなどで使われています。なので未対策のサーバーなどがあった場合はそこのクライアントパスワードが盗めてしまうから、みなさんもあらゆるパスワードを変えるのを強くおすすめします!

あと、身近に使われているスマートフォンにもその脆弱性が確認されています。そしてそれを悪用してデータを全消去してしまうアプリまで出ているので、診断アプリで診断するのもいいかもしれません(o・∀・o)
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

対策方法(サーバー)

サーバー管理者の方は多分殆どが対策をなさったと思いますが、一応書いときます(;・∀・)

OpenSSLの更新を行ってください(;・∀・) これが最優先です(゚д゚)! OpenSSLが対策済みかどうかを確認するためには以下のコマンドを実行して確認してみてください。(Ubuntuでの方法)

apt-get changelog openssl

これで動画のような記載があれば大丈夫ですが、なかった場合は即座にアップデートしてください!!

そして、アップデートが終了していたら、SSLの証明書を再発行し、昔まで使っていた証明書を失効してください。失効しないとそれを使って入られる場合もあるからです。。。

あと、チェックサイトもあるのでそこで試すのも手だと思います((((;゚Д゚))))
https://ssltools.websecurity.symantec.com/checker/

あと一番有効なのは、エンドユーザーのパスワード変更が一番いいと思います(o・∀・o)

 

日本国内での攻撃も確認されているので早急な対応をしてください!!

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください