OpenSSLの脆弱性

4月頭にIT業界を賑わせたOpenSSLの脆弱性問題。
HeartBleedの脆弱性(CVE-2014-0160)では、インターネットビジネスを
やっている企業として、ちょっと慌てたんですよね。

普段からセキュリティ関係のニュースや、IPAなどのメールサービスなどで、
情報収集するようにしていたので、この問題を知った時には、まず対象となる
バージョンのOpenSSLを使用しているのかをチェックしました。

このあたりは、うちの扱うシステム関係では、使用しているソフトウェアが、
どのサーバにどのバージョンをインストールしてあるかを管理しているので、
その情報を見ればすぐにわかります。

結果、OpenSSLは使用していませんでした。

もちろんHTTPS通信を行うサービスは提供していますが、どのように実現して
いるかは書くのをやめておきます。。。

OpenSSLを使っていないとすれば、あとは何で実現できるかと言ったら、バラ
しているようなものでしょうが。。。

ただこの脆弱性は、結構大きく扱われたこともあり、いろいろ問い合わせを受け
ましたが、使っていないという回答ですべて終了です。

この問題の技術的解説は、以下のサイトが詳しいです。

巷を賑わすHeartbleedの脆弱性とは?!
http://developers.mobage.jp/blog/2014/4/15/heartbleed

しかし、この問題。
どうも2年前から存在していたようなんですよね。
スノーデン氏の暴露で有名になったNSAが、この脆弱性を知っていて利用してい
たんじゃないか・・・なんてことが、まことしやかに言われたりしてます。
NSA自身は否定するコメントを出していましたけど。

この問題の大きさ、深刻さについては、以下のサイトを参照ください。

ウェブを襲った最悪のセキュリティ災害「Heartbleed」から自分の身を守る方法
http://readwrite.jp/archives/6706

私はこの問題を受けて、Google等のアカウントのパスワードを変更しました。
以外に大手のインターネットサービスで、この問題に対応する修正パッチの適用
をしていることを知り、簡単だけど個人として出来る方法として実施しました。

CNET ウェブのトップ100サイトを対象とした、Heartbleed への対応ステータスのリスト
http://www.cnet.com/how-to/which-sites-have-patched-the-heartbleed-bug/

情報自体は英語ですが、日本人も利用する大手サイトが多数修正パッチを適用して
おり、パスワードの変更を求めていることがわかると思います。

自分の身は自分で守るという意識が必要かもしれません。

ga('create', 'UA-46761534-1', 'reona530.com'); ga('require', 'linkid', 'linkid.js'); ga('send', 'pageview');