Pages

2014年4月16日水曜日

Heartbleed OpenSSLバグに関する、Mac、iPhone、およびiPadユーザのためのFAQ

ここ数日の間に、Heartbleedと呼ばれるバグに関する報道を何かしら目にしたこ とでしょう。今回は、この問題に対してApple製品のユーザが持つであろう典型 的な疑問に対する回答を書きたいと思います。

そもそも、Heartbleedバグとは何なのか?

Heartbleedバグは、普通なら安全なはずのインターネット通信を悪意のあるハッ カーがスパイすることができる重大な脆弱性です。広く普及しているOpenSSLソ フトウェアライブラリ内のプログラムのバグが、通常ならSSL/TLS暗号化で保護 されているはずの情報の漏洩に繋がるというものです。

盗まれる可能性がある情報には、電子メールアドレスとパスワード、あるいはプ ライベートな通信など、通常「安全な経路」を使って転送されていると考えられ るものが含まれています。

なお、このバグはHearbleedと呼ばれていますが、公式な名称はCVE-2014-0160という面倒くさそうなものです。

このバグは、どれくらい前から存在するのですか? 聞いた感じだと、 かなり重大な問題みたいですが。

はい、非常に重大です。落ち着いてください。もう2年くらい前から存在してい たようです。

もう何年間も個人情報が盗まれる状態が続いていたんでしょうか?

はい、そうです。

実際に被害はあったんですか? この方法で情報が盗まれたことはあり ますか?

はっきりとは分かっていません。このバグを悪用しても痕跡が残りませんので、 誰かが情報を盗んでも分からないのです。ただし、ここ数日の間に多くの人達が バグを悪用して情報を盗めることを証明しています。

脆弱性があるのは、OpenSSLのどのバージョンですか?

OpenSSL 1.0.1から1.0.1fまでに脆弱性があります。OpenSSL 1.0.1g、OpenSSL 1.0.0ブランチ、およびOpenSSL 0.9.8ブランチには脆弱性はありません。

Macを使っていても危険があるのでしょうか? iPhoneやiPadはどうで しょう?

残念ながら、このバグはインターネット通信に使っている端末の種類を問いませ ん。つまり、iPhone、iPad、そしてMacもWindows 8.1も、危険性は同じです。

修正されるのですか?

はい。OpenSSLの新バージョンである1.0.1gが今週公開されました。インター ネット企業は、危険なサーバおよびサービスを全速力で更新しようとしていま す。元々危険でないサイトもありますし、サイトによってはすでに修正が終わっ ています。

メジャーなウェブサイトにもHeartbleedバグの脆弱性があるのですか?


米国のYahooってメジャーですよね? 研究者がこのバグを利用し、米Yahooの多くのユーザのパスワードおよび電子メールアドレ スを入手してみせました。影響を受けるその他のメジャなウェブサイトとし ては、Flickr、Imgur、OKCupid、Stackoverflow、そしてEventbriteが報告され ています。

Appleがこのバグのためにパッチを公開することはありますか?

残念ながら、これはAppleのソフトウェアやハードウェアのバグではありませ ん。このバグは、ウェブサーバおよびネットワーク対応機器がセキュアなSSL接 続を確立するために使っているオープンソースソフトウェア内に存在していま す。言い換えれば、ウェブサイト自体に問題があるわけですから、お使いのコン ピュータやスマートフォン、あるいはタブレットではパッチできないのです。

なお、OS X Mavericks 10.9と一緒に出荷されているOpenSSLのバージョンには、 このバグは影響しません。

ウェブサイトにHeartbleedバグの影響があるかどうかを知ることはでき ますか?

多くのウェブサイトが、サーバに脆弱性があるか調べる試験を作成しています。 興味があれば、https://ssllabs.com/ssltest/、あるいはhttp://filippo.io/Heartbleed/を確認してください。

Appleのウェブサイトは安全ですか? 脆弱性の影響を受けますか?

試験によれば、Apple自身のウェブサイトはこのバグの影響を受けません。

Heartbleedについて、もっと詳しく知りたいのですが?

Codenomiconの人達によるall about the Heartbleed bugというウェブサイトを参 照ください。

About Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker.
He has been working in the computer security industry since the early 1990s, having been employed by companies such as Sophos, McAfee and Dr Solomon's. He has given talks about computer security for some of the world's largest companies, worked with law enforcement agencies on investigations into hacking groups, and regularly appears on TV and radio explaining computer security threats.

Graham Cluley was inducted into the InfoSecurity Europe Hall of Fame in 2011, and was given an honorary mention in the "10 Greatest Britons in IT History" for his contribution as a leading authority in internet security.

Follow him on Twitter at @gcluley.
View all posts by Graham Cluley →


Posted on April 9th, 2014 by

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。