スポンサーサイト

2014.10.20 Monday

0

    一定期間更新がないため広告を表示しています

    重大なセキュリティの穴 すぐに対処を!

    2014.04.13 Sunday

    0

      重大なセキュリティの穴 すぐに対処を!

      一般への影響という意味で、
      これほど重大なセキュリティホールはまれです。

      しかも、フリーのソフトウェアであるため、
      多くのサイトで使われています。

      主にサーバの問題であるため、運営者において、
      きちんと対処することが必要ですが、これまでにも
      流出の可能性があったわけで、追及も不可能です。
      今後どうなるんでしょうか。


      http://headlines.yahoo.co.jp/hl?a=20140411-00000087-mai-soci
      <OpenSSL>ネットセキュリティー2年間“重大な穴”
      毎日新聞 4月11日(金)20時38分配信

       インターネット上の買い物サイトやクレジットカード決済などに使われている暗号通信ソフトウエア「OpenSSL(オープン・エス・エス・エル)」に重大な欠陥が見つかり、個人情報などを扱う企業や団体のセキュリティー部門が対応に追われている。OpenSSLはネット上で通信の安全性を確保するため広く使われており、最悪の場合、一般利用者の個人情報が流出する恐れがある。

       ネット上の取引はクレジットカード番号やパスワードなど個人情報を含む場合、安全性を高めるため情報を暗号化する必要がある。OpenSSLは暗号化の核となる技術で、ネット通販サイトなどで標準的に使われている。欠陥は2年前に配布されたOpenSSLの新機能に見つかり、致命傷を意味する「ハートブリード(心臓からの出血)」と呼ばれている。今月7日、修正版が出た。

       情報セキュリティー大手「トレンドマイクロ社」が10日、買い物や一般企業サイトなど国内1万7852サイトを調査したところ、約3%の計534サイトが問題のOpenSSLを利用していた。一方、ネット検索大手の米グーグル社は主要サービスで修正したほか、ネット通販「楽天市場」や楽天銀行などを運営する楽天(東京都品川区)は「今回の欠陥の影響はない」としている。

       警察庁は10日、この欠陥を狙ったとみられるサイトへのアクセスが増えていると注意喚起した。都内のネットセキュリティー大手によると、これまで具体的な被害は把握されていないが、担当者は「これまでの中で最も重大な欠陥だ」と指摘。サーバーには侵入の痕跡が残らないうえ、サーバー内に一つだけある「秘密鍵」が盗まれた場合、サーバー上のあらゆる通信内容を盗み見たり、侵入者は偽サイトに利用者を誘導、情報を集めたりすることが可能になるという。このセキュリティー会社は顧客の半数が問題のOpenSSLを使っており、同社は一斉メールで修正を呼びかけた。

       独立行政法人「情報処理推進機構」の永安佑希允(ゆきのぶ)・脆弱(ぜいじゃく)性分析エンジニアも「今回の脆弱性を利用して情報を盗むのはそれほど難しくない。欠陥が2年間見逃されていたので、情報が盗まれた可能性は否定できない」と話している。

       今回の欠陥はサーバー側にあるため、サーバーを管理する事業者が修正版を適用したり、情報流出の疑いがあれば「秘密鍵」を変更したりしない限り、根本的な問題の解決はない。このため、一般利用者はまず、事業者のサーバーに欠陥があるかどうか確認し、欠陥があれば早期の改善を求める必要がある。サーバーから既に情報が流出している可能性もあるため、トレンドマイクロ社の広報は「金銭に関わるサイトについて、不審な動きがないかどうか常に注意を払う必要がある」と呼びかけている。【尾村洋介、石戸諭】

       ◇OpenSSL(オープン・エス・エス・エル)
       インターネット上の標準的な暗号通信(SSL)で使われている、公開型のソフトウエア。クレジットカードによるネットショッピングや会員制サイトなど個人情報が含まれ、高い安全性が求められるサイトで幅広く使われている。
       

      スポンサーサイト

      2014.10.20 Monday

      0
        コメント
        コメントする