OpenSSL「Heartbleed」の説明: これまでで最も危険な Web サイト セキュリティの脆弱性?

OpenSSL「Heartbleed」の説明: これまでで最も危険な Web サイト セキュリティの脆弱性?

はじめに: 現在最も人気のある 2 つの Web サーバーである Apache と nginx は、どちらも OpenSSL を使用しています。これら 2 種類のサーバーを合わせると、世界中の Web サイト全体の約 3 分の 2 を占めます。

米国のニュースサイト「Vox」は火曜日、同日発表されたOpenSSLの「Heartbleed」脆弱性について包括的な解説記事を掲載した。

記事の全文は次のとおりです。

SSLとは何ですか?

SSL は、インターネット経由で送信されるユーザー情報のプライバシーを保護できる一般的な暗号化技術です。ユーザーが Gmail.com などの安全な Web サイトにアクセスすると、URL アドレスの横に「ロック」が表示され、Web サイト上の通信が暗号化されていることがわかります。

この「ロック」は、ユーザーとウェブサイト間の通信が第三者によって読み取られないことを示します。バックグラウンドでは、SSL 経由で暗号化されたデータは受信者のみが復号化できます。犯罪者がユーザーの会話を盗聴しても、電子メール、Facebook の投稿、クレジットカードのアカウント番号、その他の個人情報の具体的な内容を理解することができず、ランダムな文字列しか見えません。

SSL は 1994 年に Netscape によって初めて導入され、1990 年代以降、すべての主要ブラウザで採用されています。近年、多くの大規模なインターネット サービスがこの技術を使用して、デフォルトでデータを暗号化しています。現在、Google、Yahoo、Facebook はすべて、デフォルトで SSL を使用して Web サイトと Web サービスを暗号化しています。

Heartbleed脆弱性とは何ですか?

SSL 暗号化された Web サイトのほとんどは、OpenSSL と呼ばれるオープン ソース ソフトウェア パッケージを使用しています。月曜日、研究者らは、ユーザーの通信が盗聴される可能性があるソフトウェアの重大な脆弱性を発表した。 OpenSSL にはこの欠陥が約 2 年間存在していました。

仕組み: SSL 標準にはハートビート オプションが含まれており、SSL 接続の一方のコンピュータが短いメッセージを送信して、もう一方のコンピュータがまだオンラインであることを確認し、フィードバックを得ることができます。研究者らは、巧妙な手段で悪意のあるハートビートメッセージを送信し、相手側のコンピューターを騙して機密情報を漏らす可能性があることを発見した。影響を受けたコンピュータは、サーバーのメモリから情報を送信するように騙される可能性があります。

この脆弱性の影響はどの程度大きいのでしょうか?

大量の個人情報がサーバーメモリに保存されるため、サイズが大きくなります。プリンストン大学のコンピューター科学者エド・フェルテン氏は、この技術を使う攻撃者はパターンマッチングを通じて情報を選別し、暗号鍵、パスワード、クレジットカード番号などの個人情報を発見できると述べた。

クレジットカード番号やパスワードを紛失することがどれほど有害であるかは言うまでもないと思います。しかし、鍵が盗まれた場合の影響ははるかに深刻になる可能性があります。これは、情報サーバーが暗号化された情報を整理するために使用するコードのセットです。攻撃者がサーバーの秘密鍵を入手した場合、サーバーが受信したすべての情報を読み取ることができ、さらにその鍵を使用してサーバーを偽装し、ユーザーを騙してパスワードやその他の機密情報を漏らすこともできます。

この問題を発見したのは誰ですか?

この脆弱性は、Codenomicon と Google Security の研究者によって独立して発見されました。影響を最小限に抑えるために、研究者は OpenSSL チームや他の主要な関係者と協力して、問題を公表する前に修正プログラムを準備しました。

Heartbleed の脆弱性を悪用できるのは誰でしょうか?

「この脆弱性を知っている人にとって、それを悪用するのは難しくない」とフェルテン氏は語った。この脆弱性を悪用できるソフトウェアはオンラインで多数入手可能です。iPad アプリほど簡単には使えませんが、基本的なプログラミング スキルがあれば誰でも使い方を学ぶことができます。

もちろん、この脆弱性は、大規模なユーザー トラフィックを傍受するのに十分なインフラストラクチャを備えた諜報機関にとって最も価値がある可能性があります。国家安全保障局(NSA)がインターネットバックボーンへのアクセスを得るために米国の通信事業者と秘密協定を結んだことは分かっています。ユーザーは、Gmail や Facebook などのサイトで SSL 暗号化が盗聴から保護されていると信じているかもしれませんが、NSA は Heartbleed の脆弱性を利用して、通信を復号化するための秘密鍵を入手することができました。

断言するのは時期尚早だが、Heartbleed の脆弱性が公表される前に NSA がそれを発見していたとしても驚くには当たらないだろう。 OpenSSL は現在最も広く使用されている暗号化ソフトウェアの 1 つであるため、NSA のセキュリティ専門家がそのソース コードを詳細に研究していることは間違いありません。 '

影響を受けるサイトはいくつありますか?

具体的な統計は入手できないが、この脆弱性を発見した研究者は、現在最も人気のある 2 つの Web サーバーである Apache と nginx が両方とも OpenSSL を使用していると指摘した。これら 2 種類のサーバーを合わせると、世界中の Web サイト全体の約 3 分の 2 を占めます。 SSL は、デスクトップ メール クライアントやチャット ソフトウェアなどの他のインターネット ソフトウェアでも使用されます。

この脆弱性を発見した研究者は数日前に OpenSSL チームと主要な関係者に通知しました。これにより、OpenSSL は脆弱性が発表された当日に修正バージョンをリリースすることができました。この問題を解決するには、主要な Web サイトはできるだけ早く最新バージョンの OpenSSL をインストールする必要があります。

ヤフーの広報担当者は次のように述べた。「当社のチームは、ヤフーの主要サイト(ヤフーホーム、ヤフー検索、ヤフーメール、ヤフーファイナンス、ヤフースポーツ、ヤフーフード、ヤフーテック、Flickr、Tumblr など)に適切な修正プログラムを適用することに成功しており、現在は残りのサイトにも修正プログラムを適用する作業を進めています。」

グーグルは「SSLの脆弱性を評価し、重要なグーグルサービス全体にパッチを適用した」と述べた。フェイスブックは、この問題が公表された時点ですでに対処していたと述べた。

マイクロソフトの広報担当者も「OpenSSLの問題に関する報告を監視している。当社のデバイスやサービスに影響があれば、ユーザーを保護するために必要な措置を講じる」と述べた。

ユーザーはこの問題にどのように対処すべきでしょうか?

残念ながら、影響を受ける Web サイトにアクセスした場合、ユーザーが自分自身を守るためにできることは何もありません。影響を受ける Web サイトの管理者は、ユーザーに適切な保護を提供するためにソフトウェアをアップグレードする必要があります。

ただし、影響を受けるサイトが問題を修正すると、ユーザーはパスワードを変更して自分自身を保護できるようになります。攻撃者がユーザーのパスワードを傍受した可能性はありますが、ユーザーには自分のパスワードが他の誰かに盗まれたかどうかを知る方法はありません。 (シュウユウ)


元のタイトル: OpenSSL「Heartbleed」の分析: 最も危険な Web サイト セキュリティの脆弱性?

キーワード: OpenSSL、脆弱性、ネットワーク セキュリティ

<<:  初心者のためのSEOの始め方

>>:  知らない外部リンクのポイント加算と減点の原則について簡単に説明します

推薦する

マイクロソフト、中国でのMSNサービスを停止すると発表

マイクロソフトのインスタント メッセージング ソフトウェア Windows Live Messeng...

タオバオモールのTmallへの名称変更はSEOに良い影響と悪い影響の両方をもたらす

昨日、タオバオモールは名前をTmall.comに変更しました。これは3〜4億人の友達の心を傷つけまし...

アリババクラウド、重慶市の「アジアで最もスマートな大都市」建設を支援

8月24日、2018年雲啓会議重慶サミットで、アリババクラウド社長胡暁明氏は、同社がスマート交通、ス...

スケーリングが12倍高速化されました! AWS Lambda 関数が大幅に改善されました!

編纂者:Xing Xuan制作 | 51CTO テクノロジースタック (WeChat ID: blo...

ftlcloud (スーパークラウド): 米国のクラウドサーバー、月額9元から、1Gメモリ/1コア/20gハードディスク/10M帯域幅無制限/10G防御

ftlcloudは現在、夏のプロモーションを実施しています。米国サンノゼデータセンターのクラウドサー...

Sentry モニタリング - 分散トレース

[[427023]]この記事はWeChatの公開アカウント「Hacker Afternoon Tea...

ウェブマスターと一緒に歩き、タオバオアフィリエイトコンテストがウェブマスターにもたらす機会を確認します

2012年はインターネットが急成長した年でした。一方では、インターネット大手が激しい戦いを繰り広げて...

エンタープライズ ウェブサイトの最適化: ウェブサイトのランキングが低い理由

インターネットの発展に伴い、ますます多くの企業が参入しています。しかし、多くの従来型企業はオンライン...

企業はなぜマーケティングにおいて精密マーケティングの戦略を把握する必要があるのでしょうか?

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス多くのブランド広告主がW...

パブリッククラウドを導入した企業から学んだ戦略的成功事例と教訓

今日、パブリック クラウドは、企業がオンプレミスのデータ センターでワークロードを実行する代わりに ...

virtnetwork-$7/KVM/12 コア/2G メモリ/110G ハードディスク/5T トラフィック/3IP

virtnetwork.com を紹介したいのは、特別版の VPS をいくつか見たのですが、そのうち...

新たなタオバオストア詐欺:「装飾」を利用して取引記録を改ざん

昨日、ネットユーザー「@丸子」はWeiboで、タオバオストアが店舗の「装飾」を利用して取引記録、ネッ...

WordPressブログを最適化する3つのステップを教えます

WordPress は近年非常に人気があります。オープン性、豊富なテンプレート、プラグイン拡張のサポ...

hostiman: ロシアの商人、VPS、サーバー、無制限のトラフィック、月額31元から

hostiman.ru は 2009 年に設立されました。公式ウェブサイトのユーザー数は 118,7...

Amazon Web Services、Amazon EFS の低コスト ストレージ層を発表

Amazon Web Services (AWS) は本日、Amazon Elastic File ...