OpenSSL「Heartbleed」の説明: これまでで最も危険な Web サイト セキュリティの脆弱性?

OpenSSL「Heartbleed」の説明: これまでで最も危険な Web サイト セキュリティの脆弱性?

はじめに: 現在最も人気のある 2 つの Web サーバーである Apache と nginx は、どちらも OpenSSL を使用しています。これら 2 種類のサーバーを合わせると、世界中の Web サイト全体の約 3 分の 2 を占めます。

米国のニュースサイト「Vox」は火曜日、同日発表されたOpenSSLの「Heartbleed」脆弱性について包括的な解説記事を掲載した。

記事の全文は次のとおりです。

SSLとは何ですか?

SSL は、インターネット経由で送信されるユーザー情報のプライバシーを保護できる一般的な暗号化技術です。ユーザーが Gmail.com などの安全な Web サイトにアクセスすると、URL アドレスの横に「ロック」が表示され、Web サイト上の通信が暗号化されていることがわかります。

この「ロック」は、ユーザーとウェブサイト間の通信が第三者によって読み取られないことを示します。バックグラウンドでは、SSL 経由で暗号化されたデータは受信者のみが復号化できます。犯罪者がユーザーの会話を盗聴しても、電子メール、Facebook の投稿、クレジットカードのアカウント番号、その他の個人情報の具体的な内容を理解することができず、ランダムな文字列しか見えません。

SSL は 1994 年に Netscape によって初めて導入され、1990 年代以降、すべての主要ブラウザで採用されています。近年、多くの大規模なインターネット サービスがこの技術を使用して、デフォルトでデータを暗号化しています。現在、Google、Yahoo、Facebook はすべて、デフォルトで SSL を使用して Web サイトと Web サービスを暗号化しています。

Heartbleed脆弱性とは何ですか?

SSL 暗号化された Web サイトのほとんどは、OpenSSL と呼ばれるオープン ソース ソフトウェア パッケージを使用しています。月曜日、研究者らは、ユーザーの通信が盗聴される可能性があるソフトウェアの重大な脆弱性を発表した。 OpenSSL にはこの欠陥が約 2 年間存在していました。

仕組み: SSL 標準にはハートビート オプションが含まれており、SSL 接続の一方のコンピュータが短いメッセージを送信して、もう一方のコンピュータがまだオンラインであることを確認し、フィードバックを得ることができます。研究者らは、巧妙な手段で悪意のあるハートビートメッセージを送信し、相手側のコンピューターを騙して機密情報を漏らす可能性があることを発見した。影響を受けたコンピュータは、サーバーのメモリから情報を送信するように騙される可能性があります。

この脆弱性の影響はどの程度大きいのでしょうか?

大量の個人情報がサーバーメモリに保存されるため、サイズが大きくなります。プリンストン大学のコンピューター科学者エド・フェルテン氏は、この技術を使う攻撃者はパターンマッチングを通じて情報を選別し、暗号鍵、パスワード、クレジットカード番号などの個人情報を発見できると述べた。

クレジットカード番号やパスワードを紛失することがどれほど有害であるかは言うまでもないと思います。しかし、鍵が盗まれた場合の影響ははるかに深刻になる可能性があります。これは、情報サーバーが暗号化された情報を整理するために使用するコードのセットです。攻撃者がサーバーの秘密鍵を入手した場合、サーバーが受信したすべての情報を読み取ることができ、さらにその鍵を使用してサーバーを偽装し、ユーザーを騙してパスワードやその他の機密情報を漏らすこともできます。

この問題を発見したのは誰ですか?

この脆弱性は、Codenomicon と Google Security の研究者によって独立して発見されました。影響を最小限に抑えるために、研究者は OpenSSL チームや他の主要な関係者と協力して、問題を公表する前に修正プログラムを準備しました。

Heartbleed の脆弱性を悪用できるのは誰でしょうか?

「この脆弱性を知っている人にとって、それを悪用するのは難しくない」とフェルテン氏は語った。この脆弱性を悪用できるソフトウェアはオンラインで多数入手可能です。iPad アプリほど簡単には使えませんが、基本的なプログラミング スキルがあれば誰でも使い方を学ぶことができます。

もちろん、この脆弱性は、大規模なユーザー トラフィックを傍受するのに十分なインフラストラクチャを備えた諜報機関にとって最も価値がある可能性があります。国家安全保障局(NSA)がインターネットバックボーンへのアクセスを得るために米国の通信事業者と秘密協定を結んだことは分かっています。ユーザーは、Gmail や Facebook などのサイトで SSL 暗号化が盗聴から保護されていると信じているかもしれませんが、NSA は Heartbleed の脆弱性を利用して、通信を復号化するための秘密鍵を入手することができました。

断言するのは時期尚早だが、Heartbleed の脆弱性が公表される前に NSA がそれを発見していたとしても驚くには当たらないだろう。 OpenSSL は現在最も広く使用されている暗号化ソフトウェアの 1 つであるため、NSA のセキュリティ専門家がそのソース コードを詳細に研究していることは間違いありません。 '

影響を受けるサイトはいくつありますか?

具体的な統計は入手できないが、この脆弱性を発見した研究者は、現在最も人気のある 2 つの Web サーバーである Apache と nginx が両方とも OpenSSL を使用していると指摘した。これら 2 種類のサーバーを合わせると、世界中の Web サイト全体の約 3 分の 2 を占めます。 SSL は、デスクトップ メール クライアントやチャット ソフトウェアなどの他のインターネット ソフトウェアでも使用されます。

この脆弱性を発見した研究者は数日前に OpenSSL チームと主要な関係者に通知しました。これにより、OpenSSL は脆弱性が発表された当日に修正バージョンをリリースすることができました。この問題を解決するには、主要な Web サイトはできるだけ早く最新バージョンの OpenSSL をインストールする必要があります。

ヤフーの広報担当者は次のように述べた。「当社のチームは、ヤフーの主要サイト(ヤフーホーム、ヤフー検索、ヤフーメール、ヤフーファイナンス、ヤフースポーツ、ヤフーフード、ヤフーテック、Flickr、Tumblr など)に適切な修正プログラムを適用することに成功しており、現在は残りのサイトにも修正プログラムを適用する作業を進めています。」

グーグルは「SSLの脆弱性を評価し、重要なグーグルサービス全体にパッチを適用した」と述べた。フェイスブックは、この問題が公表された時点ですでに対処していたと述べた。

マイクロソフトの広報担当者も「OpenSSLの問題に関する報告を監視している。当社のデバイスやサービスに影響があれば、ユーザーを保護するために必要な措置を講じる」と述べた。

ユーザーはこの問題にどのように対処すべきでしょうか?

残念ながら、影響を受ける Web サイトにアクセスした場合、ユーザーが自分自身を守るためにできることは何もありません。影響を受ける Web サイトの管理者は、ユーザーに適切な保護を提供するためにソフトウェアをアップグレードする必要があります。

ただし、影響を受けるサイトが問題を修正すると、ユーザーはパスワードを変更して自分自身を保護できるようになります。攻撃者がユーザーのパスワードを傍受した可能性はありますが、ユーザーには自分のパスワードが他の誰かに盗まれたかどうかを知る方法はありません。 (シュウユウ)


元のタイトル: OpenSSL「Heartbleed」の分析: 最も危険な Web サイト セキュリティの脆弱性?

キーワード: OpenSSL、脆弱性、ネットワーク セキュリティ

<<:  初心者のためのSEOの始め方

>>:  知らない外部リンクのポイント加算と減点の原則について簡単に説明します

推薦する

フォーラム セキュリティの 5 つの側面 (php フォーラム)

今日は次に人気の高いアプリケーション BBS についてお話しします。これはみんながフォーラムと呼んで...

実用的な百度百科事典の項目: 詩と歌

百度百科事典は、すべての外部リンクの中で最も高い重みを持っています。多くのウェブマスターは百度百科事...

Alibaba Cloud の高性能ストレージ ESSD は大規模に商用化されており、AIoT の標準構成になります。

アリババクラウドは8月26日、自社開発のESSDが自動運転、AR/VR、証券取引、電子商取引検索など...

「分散コンピューティング」の未来:クラウドコンピューティングは終わった

編集者注: OpenAI の元研究科学者である Andrej Karpathy 氏は、ディープラーニ...

#格安ドメイン名: domain.com-ドメイン名/ウェブホスティング/30% オフプロモーション

.com/.net/.org/.info/.biz/.us などのさまざまなサフィックスを持つ安価な...

クラウドコンピューティングにはどのような経済的価値がありますか?

クラウドコンピューティングは、その誕生以来、社会を変える「汎用技術」として位置づけられてきました。し...

ウェブサイトが消費を支配する仕組み

現在、インターネットショッピングは人々の生活に大きな利便性をもたらし、オンラインショッピングブームを...

明けましておめでとうございます。すべてがうまくいきますように

一年が過ぎました。私は、誰にとっても一年は特別なものだと信じています。さまざまな幸せ、収穫、そしてお...

タイムトラベルドラマを観て、原作のソフト記事「ディ・マオ」について語り合う

タイムトラベルドラマ「宮」と「一歩ずつ驚愕」を鑑賞し、原作ソフト「ディマオ」について語るニューメディ...

ubserversホストの紹介

UBservers は、高品質のホスティング サービスを提供し、ユーザーの問題を解決することで顧客を...

航空機の「ブラックボックス」データをクラウドにアップロードするのが難しいのはなぜですか?

最近、中国東方航空のボーイング737旅客便MU5735便の墜落事故がインターネット上で大騒ぎになって...

Vagrant - マルチノード仮想マシンクラスタの構築

I. はじめにプログラムを開発する場合、使用するオペレーティング環境は通常、自分のコンピューター、W...

トラフィックを飛ばして、Baidu News Sourceに参加する役割と方法について話す

Baidu News Searchは最近、検索結果の表示スタイルだけでなく、表示される検索結果の数に...

Baiduを使用してウェブサイトのランキングを向上させる際に注意すべきいくつかの問題

Baidu Knows は、多くのウェブマスターにとってウェブサイトのランキングを向上させる強力な武...