今すぐパスワードを変えたほうがいいという警告を受けた。少なくとも、Gmail、Dropbox、Facebook、Amazonなど、よく使われているWEBサービスはこの機会にパスワードをより強力なものに変えた方がいいということだ。
理由は、OpenSSL(オープンエスエスエル)にセキュリティ上の重大な欠陥があったからである。脅威のレベルは最大でHeartbleed(血を吹く心臓)と言われている。暗号化された通信の内容や秘密鍵などの情報を第三者が取得可能だったという深刻な脆弱性が約2年にわたって存在していたことが発覚した。
SSLの危険性
OpenSSL(オープンエスエスエル)などは使っていないから大丈夫と思われるユーザも多いだろうが、実は何度も使っている可能性がある。WEBサイトでパスワードを入力したり、個人情報やクレジットカード番号などを入力する際には「https://」で始まるSSL通信を行うことになっており、通信内容が暗号化される。このしくみ使われているのがOpenSSL(オープンエスエスエル)で、ある筋から聞くとことによるとSSL通信の過半数がOpenSSL(オープンエスエスエル)を使っていたということだ。
まさに血を吹く心臓。誰でもパスワード等の漏洩の可能性がある。
まずは、この機会にパスワードをより強力なものに変えておくことをおすすめする。
脆弱性を紹介したニュースソース
以下はニュースソース
▼一般向け
http://headlines.yahoo.co.jp/hl?a=20140412-00000025-asahi-soci
▼エンジニア向け
http://www.atmarkit.co.jp/ait/articles/1404/10/news128.html
(↑影響を受けるアプリ一覧が載っており、Google等有名なWEBサービス会社の名前もあった)
http://www.jpcert.or.jp/at/2014/at140013.html
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
以下引用(http://www.atmarkit.co.jp/ait/articles/1404/10/news128.htmlより)
■影響を受けるOS、ソフトウェア
| ベンダー名など | 影響を受ける製品名、ディストリビューション名など |
|---|---|
| VMware | 「ESXi 5.5」「vCenter Server 5.5」「VMware Fusion 6.0.x」など |
| Cisco | 「Cisco UCS B-Series」「Cisco UCS C-Series」「Cisco IOS XE」など |
| Fortinet | 「FortiGate (FortiOS) 5.x」など |
| Juniper Networks | 「Junos OS 13.3R1」など |
| F5 Networks | 「BIG-IP LTM 11.5.0 – 11.5.1」「BIG-IP GTM 11.5.0 – 11.5.1」など |
| Aruba Networks | 「ArubaOS 6.3.x、6.4.x」など |
| Watchguard Technologies | 「WatchGuard XTM 11.8.x」など |
| FreeBSD | FreeBSD 10.0 |
| NetBSD | NetBSD 6 |
| RedHat | Red Hat Enterprise Linux 6 |
| Ubuntu | Ubuntu 13.10、12.10、12.04 LTS |
| Android | Android 4.1.1 |
■クラウドサービス事業者の情報
| 事業者名 | 情報 |
|---|---|
| AWS | AWSからOpenSSLの脆弱性について AWS のサービスアップデート。Amazon EC2については顧客側でパッケージのアップデートを行う必要あり |
| Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug)。Google Compute Engineについては手動でOpenSSLをアップデートするか、OpenSSLを更新した新しいイメージに入れ替える必要あり | |
| Microsoft(Windows Azure) | 影響なしとの情報を公開 |
■SSLサーバー証明書、再発行に関する情報
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
