OpenSSL が重大なセキュリティ脆弱性を明らかに

OpenSSL が重大なセキュリティ脆弱性を明らかに

セキュリティ プロトコル OpenSSL は本日、今年最も深刻なセキュリティ脆弱性を明らかにしました。この脆弱性は、ハッカーコミュニティでは「Heartbleed」と呼ばれています。この脆弱性を悪用することで、ハッカーはユーザーのログイン アカウントのパスワードをリアルタイムで入手したり、自宅のコンピューターの前に座っているユーザーを騙してフィッシング Web サイトにアクセスさせたりすることができます。

OpenSSL は、ネットワーク通信のセキュリティとデータの整合性を提供するセキュリティ プロトコルです。主要な暗号化アルゴリズム、一般的に使用されるキーと証明書のパッケージ管理機能、SSL プロトコルが含まれています。現在、主要なオンライン バンキング、オンライン支払い、電子商取引 Web サイト、ポータル、電子メール、その他の重要な Web サイトで広く使用されています。米国のニュースサイト「Vox」は、同日発表されたOpenSSLの「Heartbleed」脆弱性について包括的な解釈を示す記事を掲載した。記事の全文は次のとおりです。

SSLとは何ですか?

SSL は、インターネット経由で送信されるユーザー情報のプライバシーを保護できる一般的な暗号化技術です。ユーザーが Gmail.com などの安全な Web サイトにアクセスすると、URL アドレスの横に「ロック」が表示され、Web サイト上の通信が暗号化されていることがわかります。

この「ロック」は、ユーザーとウェブサイト間の通信が第三者によって読み取られないことを示します。バックグラウンドでは、SSL 経由で暗号化されたデータは受信者のみが復号化できます。犯罪者がユーザーの会話を盗聴しても、電子メール、Facebook の投稿、クレジットカードのアカウント番号、その他の個人情報の具体的な内容を理解することができず、ランダムな文字列しか見えません。

SSL は 1994 年に Netscape によって初めて導入され、1990 年代以降、すべての主要ブラウザで採用されています。近年、多くの大規模なインターネット サービスがこの技術を使用して、デフォルトでデータを暗号化しています。現在、Google、Yahoo、Facebook はすべて、デフォルトで SSL を使用して Web サイトと Web サービスを暗号化しています。

Heartbleed脆弱性とは何ですか?

SSL 暗号化された Web サイトのほとんどは、OpenSSL と呼ばれるオープン ソース ソフトウェア パッケージを使用しています。月曜日、研究者らは、ユーザーの通信が盗聴される可能性があるソフトウェアの重大な脆弱性を発表した。 OpenSSL にはこの欠陥が約 2 年間存在していました。

仕組み: SSL 標準にはハートビート オプションが含まれており、SSL 接続の一方のコンピュータが短いメッセージを送信して、もう一方のコンピュータがまだオンラインであることを確認し、フィードバックを得ることができます。研究者らは、巧妙な手段で悪意のあるハートビートメッセージを送信し、相手側のコンピューターを騙して機密情報を漏らす可能性があることを発見した。影響を受けたコンピュータは、サーバーのメモリから情報を送信するように騙される可能性があります。

この脆弱性の影響はどの程度大きいのでしょうか?

大量の個人情報がサーバーメモリに保存されるため、サイズが大きくなります。プリンストン大学のコンピューター科学者エド・フェルテン氏は、この技術を使う攻撃者はパターンマッチングを通じて情報を選別し、暗号鍵、パスワード、クレジットカード番号などの個人情報を発見できると述べた。

クレジットカード番号やパスワードを紛失することがどれほど有害であるかは言うまでもないと思います。しかし、鍵が盗まれた場合の影響ははるかに深刻になる可能性があります。これは、情報サーバーが暗号化された情報を整理するために使用するコードのセットです。攻撃者がサーバーの秘密鍵を入手した場合、サーバーが受信したすべての情報を読み取ることができ、さらにその鍵を使用してサーバーを偽装し、ユーザーを騙してパスワードやその他の機密情報を漏らすこともできます。

この問題を発見したのは誰ですか?

この脆弱性は、Codenomicon と Google Security の研究者によって独立して発見されました。影響を最小限に抑えるために、研究者は OpenSSL チームや他の主要な関係者と協力して、問題を公表する前に修正プログラムを準備しました。

Heartbleed の脆弱性を悪用できるのは誰でしょうか?

「この脆弱性を知っている人にとって、それを悪用するのは難しくない」とフェルテン氏は語った。この脆弱性を悪用できるソフトウェアはオンラインで多数入手可能です。iPad アプリほど簡単には使えませんが、基本的なプログラミング スキルがあれば誰でも使い方を学ぶことができます。

もちろん、この脆弱性は、大規模なユーザー トラフィックを傍受するのに十分なインフラストラクチャを備えた諜報機関にとって最も価値がある可能性があります。国家安全保障局(NSA)がインターネットバックボーンへのアクセスを得るために米国の通信事業者と秘密協定を結んだことは分かっています。ユーザーは、Gmail や Facebook などのサイトで SSL 暗号化が盗聴から保護されていると信じているかもしれませんが、NSA は Heartbleed の脆弱性を利用して、通信を復号化するための秘密鍵を入手することができました。

断言するのは時期尚早だが、Heartbleed の脆弱性が公表される前に NSA がそれを発見していたとしても驚くには当たらないだろう。 OpenSSL は現在最も広く使用されている暗号化ソフトウェアの 1 つであるため、NSA のセキュリティ専門家がそのソース コードを詳細に研究していることは間違いありません。

影響を受けるサイトはいくつありますか?

具体的な統計は入手できないが、この脆弱性を発見した研究者は、現在最も人気のある 2 つの Web サーバーである Apache と nginx が両方とも OpenSSL を使用していると指摘した。これら 2 種類のサーバーを合わせると、世界中の Web サイト全体の約 3 分の 2 を占めます。 SSL は、デスクトップ メール クライアントやチャット ソフトウェアなどの他のインターネット ソフトウェアでも使用されます。

この脆弱性を発見した研究者は数日前に OpenSSL チームと主要な関係者に通知しました。これにより、OpenSSL は脆弱性が発表された当日に修正バージョンをリリースすることができました。この問題を解決するには、主要な Web サイトはできるだけ早く最新バージョンの OpenSSL をインストールする必要があります。

ヤフーの広報担当者は次のように述べた。「当社のチームは、ヤフーの主要サイト(ヤフーホーム、ヤフー検索、ヤフーメール、ヤフーファイナンス、ヤフースポーツ、ヤフーフード、ヤフーテック、Flickr、Tumblr など)に適切な修正プログラムを適用することに成功しており、現在は残りのサイトにも修正プログラムを適用する作業を進めています。」

グーグルは「SSLの脆弱性を評価し、重要なグーグルサービス全体にパッチを適用した」と述べた。フェイスブックは、この問題が公表された時点ですでに対処していたと述べた。

マイクロソフトの広報担当者も「OpenSSLの問題に関する報告を監視している。当社のデバイスやサービスに影響があれば、ユーザーを保護するために必要な措置を講じる」と述べた。

ユーザーはこの問題にどのように対処すべきでしょうか?

残念ながら、影響を受ける Web サイトにアクセスした場合、ユーザーが自分自身を守るためにできることは何もありません。影響を受ける Web サイトの管理者は、ユーザーに適切な保護を提供するためにソフトウェアをアップグレードする必要があります。

ただし、影響を受けるサイトが問題を修正すると、ユーザーはパスワードを変更して自分自身を保護できるようになります。攻撃者がユーザーのパスワードを傍受した可能性はありますが、ユーザーには自分のパスワードが他の誰かに盗まれたかどうかを知る方法はありません。


原題: OpenSSL が重大なセキュリティ脆弱性を明らかに

キーワード:

<<:  ウェイタオとの対話:商人たちの愛、憎しみ、そして期待

>>:  マイクロソフトの Windows XP が無料ではない理由

推薦する

VMware Aria: マルチクラウド管理を簡素化し、クラウドの混乱をクラウド インテリジェンスに移行

現在、クラウド コンピューティングを利用して企業のデジタル変革を加速することは、ほとんどの企業の間で...

主流の分散ストレージ技術の比較分析と応用についてお話ししましょう

[[323651]]分散ファイルシステム分散ファイル システム (DFS) とは、必ずしもローカル...

鉄道省企業が切符販売網を独占

毎年1月から2月にかけて、世界で最も売れる商品は中国の春節列車の切符であり、この商品の独占販売権を持...

通信クラスのサーバーに対する2つの緊急の要求:1つ目は仮想化

2月8日、IBMはPower7プロセッサをリリースしました。 IBM はまた、このプロセッサ プラッ...

モバイルアプリモールシステムの成功の鍵

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますテクノロジ...

ソーシャルeコマース: トラフィックから生まれ、トラフィックに閉じ込められる

Pinduoduo が急成長を続けるにつれ、おそらく人々に認識させたのは、ソーシャル e コマース自...

Google Analytics の白い画面の問題を解決する方法

3月29日、Google Analyticsにアクセスできなくなり、一部のユーザーがアクセスすると白...

マーケティングに適した携帯電話はどれですか?タイニーV?雲創通またはAcumの黒い技術、BaiduでAcum Aiyaを検索してください

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますマーケティ...

lfchosting-$6.75/4 コア/XEN/2G メモリ/20G ハードディスク/2T トラフィック/デンバー データ センター

老舗ホスティング会社である lfchosting が、非常に控えめなプロモーションを開始しました。3...

Wupao.com が電子商取引について語る: 将来の電子商取引マーケティングへの道を開く 7 つの主要なトレンド

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますWupao...

moonvm: 香港 VPS、HGC ライン、月額 45 ドル、KVM/2G メモリ/20g ハードディスク/15T トラフィック/1Gbps 帯域幅

moonvm は新しい VPS を開始しました。香港 HGC ラインの VPS で、静的 IPv4、...

大馬美有事件から、第三者データ機関の不正行為が明らかになる

文/ビアン・ハイフェンスポーツ競技では、審判のミスの発生によって試合の最終結果が左右されることがよく...

SEO最適化に必須:最適化ソフトウェア、自信、そして忍耐力

この記事では、SEO で使用されるツールと、Web サイトの内部リンクと外部リンクの具体的な分析につ...

Qenox – 512M メモリ KVM/アトランタ/月額 7 ドル

Qenox は 2010 年に正式な会社として運営を開始し、2001 年から IDC 事業に取り組ん...

レオン:2020年にインターネットでお金を稼ぐ方法

インターネットは大きな変革を遂げています。 2020 年までに、世界中のインターネット ユーザー数は...