How To:「Heartbleed」から身を守るには--セキュリティ専門家に聞く - (page 2)

Richard Nieva (CNET News) 翻訳校正: 川村インターナショナル2014年04月11日 11時37分

 Yahooは、このバグへの脆弱性があったウェブサイトの中で最大のものだったように思える(予備的テストでは、FacebookやGoogle、Twitterのウェブサイトは安全だったようだ)。Yahooは、「Yahoo Homepage」「Search」「Mail」「Finance」「Sports」「Food」「Tech」「Flickr」「Tumblr」といった同社の主要な資産に対して「適切な修正を行うことに成功した」としている。しかしYahooの広報担当者は、引き続き残りのYahooサイトへの対応を進めていると語った。

 セキュリティ調査会社AlienVault LabsのディレクターであるJaime Blasco氏は、次のように述べている。「影響を受けた(Yahooや)ほかのサービスへのログインを控えるようユーザーに勧めている。そうしたサービスを使うと、認証情報が漏れる可能性があるからだ。Yahooが問題を解決したらすぐに、念のためパスワードを変更したほうが良いだろう」

 Yahooは、ユーザーの好みに合わせたエクスペリエンスを提供できるように、最新の認証方式に力を入れてきた。そうしたエクスペリエンスの提供は、最高経営責任者(CEO)のMarissa Mayer氏が同社を引き継いだほぼ直後から派手に宣伝してきたことだ。Yahooは電子メールやファンタジースポーツなどのサービスで、アプリケーションへのアクセスにパスワードを要求している。

 同社はセキュリティの分野では以前からいくつか問題を抱えていた。1月には、サードパーティーのデータベースに対する攻撃が試みられたため、一部の電子メールユーザーのパスワードをリセットしなければならなかった。Heartbleedバグの発表を受けて、すでに一部ユーザーがTwitter上で怒りをあらわにしている。アーカンソー州ロイヤルのBrandon Oxford氏は、「このことがあって、私はYahooの電子メールサービスを使うのを正式にやめた。今、Gmailを設定したところだ。Yahooよりも優れているように思える」と書いている

 影響を受けたとされるほかの企業もコメントを発表している。Redditユーザーに人気がある写真共有サイトのImgurは、次のように述べた。「(われわれは)クッキーやセッションIDなど、慎重な扱いを要するデータを、安全を期して無効にした。慎重に対応を進めている。この攻撃は、その性質上、検知するのが難しいからだ。しかしその攻撃がImgurに対して行われたと考える理由はない」。OKCupidは、「OKCupidでは修正が完全に適用された」としている。

 このような出来事の直後に浮かび上がる疑問は、ウェブ企業が自社のセキュリティ慣行を改めるだろうか、ということだ。大手ウェブ企業の多くは、Perfect Forward Secrecy(PFS)に移行しているが、すべての大手ウェブ企業が導入しているわけではない。PFSを導入すると、基本的には、暗号鍵の有効期間が非常に短く、永久に使われることがなくなる。「人々は、自分たちの通信ができるだけ安全であってほしいと考えるはずだ。PFSは、将来的に推進できる対策の1つだ」(Miller氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]