インターネット上で最も危険な脆弱性であるHeartbleedバグに直面して、知っておくべきセキュリティ問題

昨日、Heartbleed 脆弱性に関するニュースがインターネット上で白熱した議論を巻き起こしました。 OpenSSL プロジェクトで発見されたこの脆弱性により、攻撃者はさまざまな暗号化されたネットワーク データ送信からユーザー情報を盗むことができます。OpenSSL は Web サーバー、メール プロトコル、通信プロトコルで広く使用されているため、影響を受けるユーザーの数を一度に見積もることは困難です。

Heartbleed 脆弱性について話す前に、OpenSSL とは何かについて話す必要があります。ただし、OpenSSL は SSL と密接に関連しており、SSL セキュリティ プロトコルはおそらくユーザーが最もよく目にするプロトコルであるため、SSL の紹介から始めます。

ブラウザで Gmail や QQ メールボックスをよく使用するユーザーの場合、注意して見ると、IE または Chrome ブラウザのどちらを使用しても、メールボックスのログイン インターフェイスに入ると、ブラウザのアドレス バーが https になるのに対し、通常の Web ページは基本的に http で始まることに気付くでしょう。追加の s は「secure」の略語です。これは、ユーザーとサーバー間の通信が暗号化されていることを意味します。このような暗号化は、パスワードや個人情報が関わるあらゆる種類のネットワーク製品に必要です。

Https 伝送プロトコルが http よりも安全である理由は、SSL レイヤーが追加されているためです。SSL の正式名称は Secure Sockets Layer で、Netscape が Web ブラウザの最初のバージョンをリリースしたときに提案したセキュリティ プロトコルです。その目的は、ネットワーク通信のセキュリティとデータの整合性を確保し、クライアントとサーバー アプリケーション間の通信が攻撃者にハッキングされないようにすることです。

SSL によるクライアントとサーバー間の通信プロセスでは、セキュリティを確認するために公開鍵、秘密鍵、証明書などの複数のファイルが必要になる場合があります。OpenSSL スイートは、SSL プロトコルを実装し、一般的に使用される鍵と証明書のパッケージ管理機能を提供できます。オープンソースとクロスプラットフォームの特性と相まって、多くの開発者の選択肢になります。

OpenSSL は SSL プロトコルをサポートする必要はありませんが、OpenSSL は広く使用されているため、Heartbleed 脆弱性は当然ながら広範囲に影響を及ぼしました。 Codenomicon と Google Security のセキュリティ研究者によって最初に発見された Heartbleed 脆弱性により、攻撃者は OpenSSL を使用するサーバーのメモリから最大 64kb のデータをリモートで読み取ることができます。さらに、攻撃者は必要な限り、必要なデータが見つかるまで脆弱なサーバーから繰り返し読み取ることができます。

64KB のデータはそれほど大きくないように思えますが、オンラインで公開された写真を見ると、ユーザー名、パスワード、個人情報など多くの機密情報が含まれていることがわかります。これに伴い、WeChatパブリックアカウント、WeChatウェブ版、YY言語、Taobao、Momoなどの国内ネットワークサービスも影響を受けています。

現在、OpenSSLは正式に修正版をリリースしており、国内の大手メーカーも多数、脆弱性を速やかに修正しています。したがって、ユーザーはあまり心配する必要はありません。さらに、疑わしいユーザーのために、インターネット上にはオンライン脆弱性検出ツールを提供する開発者がいます。ユーザーは Filippo にログインして、アクセスした Web サイトが安全かどうかを確認できます。

しかし、問題を抱えたサービスプロバイダーは徐々にサービスの修復を進めており、OpenSSLの修復版もリリースされているものの、問題は完全に解決されたわけではない。Heartbleed脆弱性を悪用した攻撃はログ情報を残さないため、ほとんどのサービスプロバイダーはユーザーデータがどれだけ盗まれたか把握できず、当然その後の保護作業に支障をきたすことになる。ユーザーの皆様は、脆弱性発生時に暗号化サービスを使用しているサイトにログインし、重要な個人情報を入力した場合は、安全上の理由からご自身でアカウント情報を変更することをお勧めします。

Heartbleed脆弱性事件は、ネットワークセキュリティの脆弱性を改めて証明しました。もちろん、セキュリティを重視するメーカーにとっては、これは基本サービスをアップグレードし、セキュリティの強度を高める機会にもなります。これは、この深刻なセキュリティ上の脅威によってもたらされた数少ない「利益」の 1 つであると思われます。

原題: 今日のインターネットで最も危険な脆弱性、Heartbleed バグに直面、知っておくべきセキュリティ問題

キーワード: 脆弱性、セキュリティ、OpenSSL、バグ