2014年04月17日

Open SSLの脆弱性問題でユーザーが気をつけておくべきこと、そして知っておくべきこと

先日、ネットのニュースでも、"ネット史上最大のバグ?" とも報じられた、OpenSSLの問題。
次々にさまざまなチェックツールやサイトも出てきて、さらには、新聞などでも報道されるようになり、その深刻さがますます明らかになってきています。

とはいえ、ユーザーの側でできることが限られていることから、それなに?と思われている方も多いのかもしれませんね。

ネット史上最大のバグ?とも言われているOpenSSLの脆弱性

一度上記のような形でご紹介させていただきました。

さてその後ですが、実はユーザー側でも注意しないといけない問題がいくつか出てきています。
その一つが、ブラウザ側の設定の問題。実は、普段何気なく利用しているブラウザではありますが、既定の設定で使っていても問題ないと思われがちですが、それがちょっと違うんです。

OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について/IPA

上記のIPAのサイトにも比較的わかりやすくユーザーの取り組みについて紹介されていますが、今回のOpenSSLの問題は、ブラウザ側でも、"証明書の失効確認を有効にする" 設定がきちんとされていないといけないのですが、一部のブラウザでは、既定では有効ではありません。
その代表が、Google Chrome。あるいは、Google Chromeと同じエンジンを使っているSleipnir5も同様でした。

20140417-1.jpg
* Sleipnir5 の設定画面。ブラウザ、左上の "Sleipnir" をクリックして、エンジン設定>Blink設定 とクリックして設定画面に入ります。

20140417-2.jpg
* Google Chrome の設定画面。先ほどのSleipnir5と非常に似てますが、こちらが本家。ブラウザを起動し、右上のメニューをクリックして、設定>詳細設定を表示... とクリックすると、HTTPS/SSLの証明書の管理という項目が表示されます。

でさらに今日になって、

トレンドマイクロのパスワード管理ソフトでOpenSSL脆弱性による漏えいか

といった情報も。こっちはMAC版みたいですが、次々にいろいろな関連の情報も。さらに、実際に悪用されている例と、それに伴う逮捕者も出ているという事実...

OpenSSLの「心臓出血」脆弱性、悪用の疑いで逮捕者

加えて、以前から指摘されていたようですが、問題とされて報道されたDNSサーバーの問題もあります。これもユーザー側では何ともしようのないことではありますけど。

いずれにせよ、こうしたセキュリティがらみの情報には、今後も、注意したいですね。


2014/4/18 更新追加情報

シマンテックから、今回のOpenSSLの脆弱性にともなう、企業あるいは個人がどのように取るべきか?その対策について説明されたPDFが公開されています。ぜひ一度ご覧ください。

Heartbleed脆弱性

上記サイトの、"Heartbleed 〜OpenSSL の脆弱性〜" をクリックするとダウンロードできます。

またセキュリティレスポンスブログやインフォグラフィックなどの情報も非常に参考になります。



<参照>
インターネットの根幹「DNS」に根本的欠陥が見つかる/BLOGOS
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について/IPA
Chromeは既定だとオンラインで証明書の失効確認していないので設定方法を調べてみた/piyolog
Google Chrome、SSL証明書のオンライン失効チェックを無効に/ITmedia
正しいサイトを開いても「偽サイト」にすりかわる恐れ -- 「パンドラの箱」と呼ばれるネットの欠陥見つかる/インターネットコム
インターネットの根幹「DNS」に根本的欠陥が見つかる/BLOGOS
SSLサーバ証明書を確認してみよう!/小悪魔女子大生のサーバエンジニア日記

posted by クリック at 19:10| 東京 ☀| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック