logo

How To:「Heartbleed」から身を守るには--セキュリティ専門家に聞く

Richard Nieva (CNET News) 翻訳校正: 川村インターナショナル2014年04月11日 11時37分
  • このエントリーをはてなブックマークに追加

 「Heartbleed」と呼ばれる新しい重大なセキュリティ上の脆弱性が米国時間4月7日夜に明らかになり、ウェブ全体に深刻な影響が示唆されている。このバグによって、ユーザー名、パスワード、クレジットカード番号といった個人データをはじめ、慎重に扱うべきユーザーデータが保管されているサーバのメモリから、データを取得されてしまうおそれがある。

 これは極めて深刻な問題であり、インターネット調査会社Netcraftによれば、約50万台のサーバに影響があるという。本記事では、自分の情報を保護するためにできることについて、米CNETがセキュリティの専門家に聞いた方法を紹介する。

 影響を受けているサイトのアカウントには、その企業が問題にパッチを適用したことを確認できるまでログインしないこと。セキュリティとコンプライアンスを専門とするTrustWaveのセキュリティリサーチマネージャーであるJohn Miller氏は、企業が積極的に情報を公開していない場合(修正を確認したことを発表していない、進捗状況が公表されていない場合)、カスタマーサービスに連絡して情報提供を求めるべきだと述べている。

 影響を受けていると思われるウェブサイトには、米YahooやOKCupidなどがある。ただしこうした企業は、自社のサイトは完全に対応済み、あるいは部分的に対応済みだとしている(詳細は下記を参照)。ここを見れば各サイトの状況を個別に確認ができるが、「問題なし」となっているサイトでもまだ注意したほうが良い。要注意とされているサイトは、現時点では利用を控えよう。

 今すぐパスワードを変更したいというのが自然な反応かもしれないが、セキュリティの専門家は、バグが修正されたという確認を待つよう勧めている。脆弱性のあるサイトでのさらなるアクティビティは、問題を悪化させる可能性があるためだ。

 セキュリティパッチの適用を確認できたら、銀行や電子メールのような慎重に扱うべきアカウントのパスワードをまず変更すること。2要素認証(パスワードに加えて、テキストメッセージで送られてくるコードなど、もう1つの本人確認情報を要求する認証方式)を採用している場合でも、そのパスワードを変更することを勧める。

 自分のデータを預けている場合は、小規模企業にもためらわずに連絡を取り、安全であることを確かめること。TrustWaveのMiller氏は、YahooやImgurのような著名企業は間違いなくこの問題を知っているが、小規模企業は問題に気づいてすらいない可能性があるとしている。自分の情報が安全であることを積極的に確認しよう。

 これから数日間は銀行口座の明細などを注意して確認すること。攻撃者がクレジットカード情報を求めてサーバのメモリにアクセスする可能があるため、自分の銀行口座の明細に覚えのない請求がないかどうか、注意して見ておいて損はない。

 これらのガイドラインに従っていても、このバグの直後にウェブサーフィンをするのにはまだ多少の危険がある。Heartbleedは、サイト上でのユーザーのアクティビティを追跡するブラウザのクッキーに影響するとも言われている。そのため、脆弱性のあるサイトを訪れるのは、ログインしていなくても危険だ。匿名性とプライバシーを推進する活動を行っているTor Projectは、ブログ記事で、匿名性とプライバシーを守りたいユーザーは「状況が落ち着くまで今後数日間、インターネットを全く使わないほうが良いかもしれない」と書いている。


提供:Codenomicon/CNET

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]