「ハートブリーディング」脆弱性が国内の主要ウェブサイトに影響、アリペイ、タオバオなど多くのウェブサイトが修正

「ハートブリーディング」脆弱性が国内の主要ウェブサイトに影響、アリペイ、タオバオなど多くのウェブサイトが修正

「4月8日はハッカーやホワイトハットにとって眠れない夜だ」誰かがこう表現した。午前中はまだ WIN XP サービスの廃止について議論されていましたが、夕方になると OpenSSL の脆弱性に関するニュースが至る所で報じられました。

OpenSSL は、ネットワーク通信のセキュリティとデータの整合性を提供するセキュリティ プロトコルです。主要なオンライン バンク、オンライン決済、電子商取引 Web サイト、ポータル、電子メールなどで広く使用されています。多くの企業やサービスプロバイダーがデータの暗号化に使用しているこのセキュリティプロトコルは、今年最も深刻なセキュリティ脆弱性を露呈しました。ハッカーはこの脆弱性を利用して、サーバーメモリから 64KB のデータを盗むことができます。64KB のデータは大きな量ではありませんが、ハッカーはこの脆弱性を再利用してデータを複数回盗み、ユーザーの暗号化キーを入手して機密データを復号化することができます。

一例を挙げると、OpenSSL はインターネット上で最も広く使用されている「ドアロック」ですが、この脆弱性により、特定のバージョンの OpenSSL が無防備な金庫になってしまいます。

セキュリティの脆弱性

ハッカーとホワイトハットは一晩中忙しかった

「(このニュースは)最初に海外のフォーラムで目にし、すぐに中国国内に広まった」とキングソフトのチーフセキュリティ専門家、李鉄軍氏は語った。4月7日(米国現地時間)、ハッカーがOpenSSLの旧バージョンにセキュリティ上の脆弱性があることを発表した。「脆弱性のメカニズムが非常に詳細に説明されていたため、コミュニティ内で急速に広まった」

この脆弱性が明らかになったのは、かなり危険な時期だった。ハッカーはすでに勢力を増していたが、一部の企業幹部は眠っていたのだ。発見者はこの脆弱性に「ハートブリード」という非常にわかりやすい名前を付けました。これは文字通り「心臓の出血」を意味します。その夜、インターネットのセキュリティ中核が崩壊し始めた。

ハッカー、ホワイトハット、運用・保守管理者、セキュリティベンダーは皆、その「血」の匂いを嗅ぎつけ、動き出した。彼らの一部はパーティーを始め、厳重に警備されたウェブサイトに一つずつ侵入し、漏洩したデータを収集し始めた。一部は、どれだけのウェブサイトが影響を受けたかをテストし、検出スクリプトを起動し始めた。一部は脆弱性情報を収集し、顧客を説得して問題の深刻さを説明する準備をしていた。一部は緊急警報を発し、一晩でシステムのバージョンを修復・アップグレードし始めた。WooYun脆弱性プラットフォーム上の多くのホワイトハットが、広範囲のウェブサイトをテストしてスコアリングし始め、その光景は非常に壮観だった...しかし、一般のネットユーザーはそれをまったく知らなかった。

「すぐに、ハッカーたちも OpenSSL の古いバージョンに対する『絶対確実な攻撃』をリリースしました。」Li Tiejun 氏は、これは専門技術者でなくても同じパターンに従うだけで脆弱性を悪用してサーバーからデータを盗むことができることを意味すると説明した。

「この脆弱性を受け取った後、私たちはまずAlipayをテストし、この脆弱性の存在を確認し、検出を開始しました。その後、この脆弱性がYahooポータルホームページ、WeChatパブリックアカウント、WeChatウェブバージョン、YY言語、Taobao、オンラインバンキング、Momo、ソーシャルネットワーキング、ポータルサイトに存在することがわかりました。」ネットユーザーのEvi1m0はZhihuで次のように明らかにしました。「ソーシャルネットワーキングサイトで、ユーザーのログインアカウントとパスワード、さらにはセキュリティの質問と答えを入手しました。ここでのパスワードはプレーンテキストで送信されるため、このような脆弱性攻撃を通じて、数百のアカウントにログインできました。もちろん、何もしていません。テストのためだけです。」

国内の有名ウェブサイトも例外ではない

現在、AlipayとTaobaoは脆弱性を修正している。

この脆弱性の影響はどの程度大きいのでしょうか。セキュリティ専門家は、サイバースペースの検索エンジンであり、業界で認められた権威である zoomeye (Zhong Kui's Eye) のスキャンデータを参照することを一致して推奨しています。 zoomeye システムスキャンによると、中国では少なくとも 33,303 台のサーバーがこの OpenSSL の脆弱性の影響を受けています。 NetEase、WeChat、QQ Mail、Momo、Yahoo、Bitcoin China、Alipay、Zhihu、Taobao、360 Apps、JD.com(ローリングニュース)、YY Language...消費からコミュニケーション、ソーシャルネットワーキングまで、国内のほぼすべての有名なWebサイトが影響を受けました。しかし、多くのユーザーはこれに気づかず、依然として虎の口の中のサイトを訪問し続けています。

幸いなことに、公式は脆弱性の修正をすぐにリリースしました。これは OpenSSL の古いバージョンのセキュリティ脆弱性であるため、開発者はサーバー プログラムを OpenSSL1.0.1g にアップグレードすることで解決できます。

「現在、テンセントのいくつかの主要製品ラインはアップグレードと修復が行われており、脆弱性が修正されたことを確認するためにスキャンが繰り返し実施されています。」テンセントの関係者は、電子メール、Tenpay、QQ、WeChatなど、テンセント関連の製品ビジネスは安心して使用できると述べました。

「アリババのウェブサイトは現在、問題はない」。アリババグループの関係者も、技術部門が脆弱性の知らせを受けてすぐに、一晩でバージョンをアップグレードし、脆弱性を修正したと語った。現在、Alipay、Taobao、Tmallは正常にご利用いただけます。

記事執筆時点では、Alipay、Taobao、WeChat、QQプラットフォーム、NetEase、12306鉄道顧客サービスセンターなどの主要なウェブサイトが脆弱性を修正している。

未知のリスクへの対処

セキュリティ専門家が2つの提案

インターネットポータルが全面オープンとなった「恐怖の夜」は過ぎ去った。最初から最後まで、大多数のネットユーザーは何も知らなかった。

私たちは安全ですか?

zoomeye システムのスキャン結果から、脆弱性の影響を受ける 33,303 台のサーバーよりも心配なのは、これらのサーバーの一部が銀行のオンライン バンキング システム内にあること、一部がサードパーティの支払いシステムに導入されていること、一部が大規模な電子商取引 Web サイトに配置されていること、一部がネットワーク メールボックスやインスタント メッセージング システムに配置されていることです...

「特に現在、インターネット金融と第三者決済が急速に発展しており、これは、これまで銀行カードとPOS端末で行われていた取引が徐々にインターネットに移行し、ネットワークセキュリティに対する要求がますます高まることを意味します。」李鉄軍氏は、サーバー側はユーザー側よりもさらに制御不能であることを認めた。ハッカーがサーバーに侵入した場合、被害は会社自体だけでなく、会社のデータベースに保存されている大量の機密ユーザー情報にも及ぶだろう。

「この脆弱性は2012年には発見されていたと言われていますが、昨日CVE番号CVE-2014-0160に含まれるまで正式に公開されていませんでした。」Evi1m0はZhihuで、「HTTPSを使用するWebサイトは、スニッフィングやその他の攻撃を防ぐためにデータ暗号化を使用することがほとんどです。脆弱性が露出した後、この扉は完全に破られ、多くのWebサイトが監視されている状態になっています。」とも明らかにした。

2年以上もの間、ハッカーがこの脆弱性を悪用してユーザー情報を入手したかどうかは誰にもわかりません。また、この脆弱性はハッキングされてもサーバーログに痕跡を残さないため、どのサーバーがハッキングされたのか確認する方法が現在なく、損失の場所を特定したり、漏洩した情報を確認したり、状況を改善するようユーザーに通知する方法もありません。

「罠に陥らないために、過去2日間はパッチ未適用のサーバーにログインしないでください。ユーザー名やパスワードを変更したい場合でも、数日待ってください。」複数のセキュリティ専門家が出したアドバイスは一貫していた。最近、ネットユーザーがいくつかの主要なサービスウェブサイトにログインしているため、ウェブサイトが脆弱性の修復を完了していない場合、ログイン情報がハッカーによってリモートで取得される可能性があります。

zoomeye のスキャン結果と関係者のリストは、手順にしたがって全国的な警告を発令するはずの国立インターネット緊急センターに提出されているが、記事執筆時点では国立インターネット緊急センターの公式ウェブサイトでは関連情報は公開されていない。

実際、中国移動や中国聯通などの大企業を除けば、国家インターネット緊急センターには他の企業に警告内容を見せることを保証する権限がなく、OpenSSLの旧バージョンのセキュリティ脆弱性を修正する時期は不確定な値となっている。

一般ユーザーは何をすべきでしょうか?脆弱性の後にハッカーにユーザーのパスワードが盗まれるのを避けるために、関連するウェブサイトのセキュリティを確認する前に、オンラインバンキング、電子決済、電子商取引ショッピングなどの機能を使用しないことに加えて。

セキュリティ専門家は、2 つの提案をしています。まず、Alipay、電子メールなどの重要なサービスでは、可能な限り携帯電話による認証または動的パスワードを有効にしてください。重要なサービスにログインするときは、ユーザー名とパスワードを確認するだけでなく、携帯電話をバインドして携帯電話の確認コードでログインするのが最適です。この方法では、ハッカーがアカウントのパスワードを入手したとしても、ログインするには別のハードルが残ります。第二に、インシデントの進行に伴って、影響を受ける可能性のあるネットワーク サービスの数が増えたり、明らかになったりした場合は、重要なサービスのログイン パスワードを変更することをユーザーに推奨します。また、パスワードは長期間使用しないでください。3 か月を超える場合は変更する必要があります。

さらに読む:

  • OpenSSL「Heartbleed」の説明: これまでで最も危険な Web サイト セキュリティの脆弱性?
  • OpenSSLの脆弱性:国内のウェブサイト3万件が影響を受けている
  • 主要な OpenSSL の脆弱性の詳細な説明: 誰が影響を受けるのか?どうすれば解決できるでしょうか?
  • OpenSSLの脆弱性が電子商取引とオンラインバンキングに影響、専門家はタイムリーな修正を呼びかけ
  • パスワードを再度変更する必要がありますか?新たに明らかになった OpenSSL インシデントを確認する方法
  • インターネットの世界は最大の危機に瀕している:OpenSSL が重大なセキュリティ脆弱性を露呈
  • OpenSSL の脆弱性の分析: 大きな影響、2 年前に存在
  • OpenSSL の重大な脆弱性が明らかに: Yahoo やその他の Web サイトに影響


原題:「ハートブリーディング」アリペイやタオバオなど国内主要ウェブサイトが脆弱性攻撃を受け、修復完了

キーワード: OpenSSL、脆弱性、ネットワーク セキュリティ

<<:  失敗したウェブマスターの苦い幸せ:冷肉販売者であり、小さなウェブサイトを持っている

>>:  多くのウェブサイトが記事をページ単位で表示することを好むのはなぜでしょうか? ユーザーエクスペリエンスとページの負荷分散の観点から

推薦する

Webmaster.com からの毎日のレポート: タオバオが違法オンライン商店を処理、Tmall が電子商取引の価格戦争に参入

1. アリババが違法オンライン商店の取り扱いを発表:一部は警察に拘束される新浪科技は5月4日午前、ア...

インターネットデータエンジニア:ユーザー情報を宝物に変える

画像提供:CFPネット生活におけるあらゆる小さな行動、検索ボックスに入力するキーワード、何気ないチェ...

SEOの新たな展開:現代マーケティングへの道へ

SEO 業界は、あらゆる業界の中でも非常に新しい業界と考えられていますが、すでに数十年にわたって発展...

12306 のチケット予約体験からオンライン マーケティングを考察

12306のウェブサイトがアップグレードされ公開された後、全国の人々から批判を受けました。火星人と同...

SEO入門: 3分でSEOについて学ぶ

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスSEO担当者にとって、ウ...

Kuaichuhaiが広州で第1回GGCCグローバルゲームマッチメイキングカンファレンスを開催

カンファレンスは、テーマサミット、製品マッチメイキングミーティング、B2B協力展示エリア、エリートプ...

クラウドネイティブ Java フレームワーク - Micronaut

翻訳者 |チェン・ジュン校正:孫淑娟長い間、バックエンド Java の開発は Spring フレーム...

有料検索広告におけるモバイルデバイスとPCの違いを分析

過去 1 年間、モバイル デバイスとインターネットの発展は最も予想外のものであり、それが牽引した周辺...

#推奨# ftpit: 55% 割引コード、512 RAM VPS 月額支払いはわずか 1.64 ドル

ftpit は、ニューヨークのデータセンターで 3 つの安価な VPS モデルを 45% 割引で提供...

shuhost: 香港サーバー20%割引、10M~30M帯域幅、e3シリーズは月額432元から、Windows+3IP内蔵

Shuhost Technology (shuhost) は、8 月に香港データセンターの独立サーバ...

サーバー仮想化ソリューションについて話す

1. 中小企業における仮想化導入の重要性今日の x86 サーバーは、一度に 1 つのオペレーティング...

百度はGoogleを見習って、ユーザーを本当に大切にする企業になってください

最近、Google が、FBI によるユーザーのプライバシー情報の取得を米国政府が拒否したことに異議...

SEO実践体験:ウェブサイトの重量を5日間減らして体重を回復する

この話題の前に、私のウェブサイトの状況についてお話しさせてください。事の真偽を示すために、スクリーン...

ロシア・ウクライナ戦争のIT暴露:我が国のITと財政自立の価値と難しさ

1. ロシア・ウクライナ戦争のIT暴露2022 年のロシアとウクライナの戦争では、観客は興奮を、軍...