2014年04月20日

自分のブラウザは大丈夫?

何度か取り上げておりますが、Open SSLの脆弱性問題。国内でもこれに関連した被害が出始めています。

OpenSSL:三菱UFJニコス894人個人情報流出か/毎日新聞

基本的にはサーバー側での対応が必要なことでもありますので、利用者としてできることには限りがありますが、それでも前回IPAのページをご紹介したように、利用者として注意すべき点もいくつかあります。

OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

普段利用しているSSLのかかったウェブサイトの対応状況を確認するとか、ウェブサイト運営者からのメールなどの連絡には注意して指示に従うなどのほか、ブラウザの設定を確認しておくことも非常に大切です。

前回の記事の中でもちょっと紹介しましたが、Google ChromeやSleipnir5の場合には、"サーバー証明書の取り消しを確認する" にチェックが入るように、設定を変更する必要があります。

一例ですが、以下のようなサイトに接続した場合、Internet Explorerのように既定で設定されている場合には、以下のような感じでアクセスができません。

20140420-1.jpg

https://www.cloudflarechallenge.com/heartbleed

ここにアクセスしたときに、表示できなければ正常、きちんとチェック機能が働いていることになります。逆に、英文ではありますが表示できるようであれば問題ありってことになります。

* ただし、Google Chromeの場合には、以前にも紹介したとおり既定では有効にはなっていませんが、このサイトにおいては、ページが表示できませんので、アクセスしただけでは確認ができませんのでご注意ください。

たまたま手元にあったiPhone4sのSafariでは、表示されておりました。いずれにしても一度ご自身のブラウザで、アクセスして確認してみてください。


<参照>
三菱UFJニコス、同社への不正アクセスの手口をOpenSSL/Heartbleed脆弱性の悪用と特定
OpenSSLの脆弱性攻撃で国内に被害 三菱UFJニコスで情報の不正閲覧/ITmedia
OpenSSL の HeartBleed脆弱性に対し、我々が注意すべきこととは?/TrendLabs
posted by クリック at 13:23| 東京 ☁| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする