次々にさまざまなチェックツールやサイトも出てきて、さらには、新聞などでも報道されるようになり、その深刻さがますます明らかになってきています。
とはいえ、ユーザーの側でできることが限られていることから、それなに?と思われている方も多いのかもしれませんね。
ネット史上最大のバグ?とも言われているOpenSSLの脆弱性
一度上記のような形でご紹介させていただきました。
さてその後ですが、実はユーザー側でも注意しないといけない問題がいくつか出てきています。
その一つが、ブラウザ側の設定の問題。実は、普段何気なく利用しているブラウザではありますが、既定の設定で使っていても問題ないと思われがちですが、それがちょっと違うんです。
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について/IPA
上記のIPAのサイトにも比較的わかりやすくユーザーの取り組みについて紹介されていますが、今回のOpenSSLの問題は、ブラウザ側でも、"証明書の失効確認を有効にする" 設定がきちんとされていないといけないのですが、一部のブラウザでは、既定では有効ではありません。
その代表が、Google Chrome。あるいは、Google Chromeと同じエンジンを使っているSleipnir5も同様でした。
* Sleipnir5 の設定画面。ブラウザ、左上の "Sleipnir" をクリックして、エンジン設定>Blink設定 とクリックして設定画面に入ります。
* Google Chrome の設定画面。先ほどのSleipnir5と非常に似てますが、こちらが本家。ブラウザを起動し、右上のメニューをクリックして、設定>詳細設定を表示... とクリックすると、HTTPS/SSLの証明書の管理という項目が表示されます。
でさらに今日になって、
トレンドマイクロのパスワード管理ソフトでOpenSSL脆弱性による漏えいか
といった情報も。こっちはMAC版みたいですが、次々にいろいろな関連の情報も。さらに、実際に悪用されている例と、それに伴う逮捕者も出ているという事実...
OpenSSLの「心臓出血」脆弱性、悪用の疑いで逮捕者
加えて、以前から指摘されていたようですが、問題とされて報道されたDNSサーバーの問題もあります。これもユーザー側では何ともしようのないことではありますけど。
いずれにせよ、こうしたセキュリティがらみの情報には、今後も、注意したいですね。
2014/4/18 更新追加情報
シマンテックから、今回のOpenSSLの脆弱性にともなう、企業あるいは個人がどのように取るべきか?その対策について説明されたPDFが公開されています。ぜひ一度ご覧ください。
Heartbleed脆弱性
上記サイトの、"Heartbleed 〜OpenSSL の脆弱性〜" をクリックするとダウンロードできます。
またセキュリティレスポンスブログやインフォグラフィックなどの情報も非常に参考になります。
<参照>
・インターネットの根幹「DNS」に根本的欠陥が見つかる/BLOGOS
・OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について/IPA
・Chromeは既定だとオンラインで証明書の失効確認していないので設定方法を調べてみた/piyolog
・Google Chrome、SSL証明書のオンライン失効チェックを無効に/ITmedia
・正しいサイトを開いても「偽サイト」にすりかわる恐れ -- 「パンドラの箱」と呼ばれるネットの欠陥見つかる/インターネットコム
・インターネットの根幹「DNS」に根本的欠陥が見つかる/BLOGOS
・SSLサーバ証明書を確認してみよう!/小悪魔女子大生のサーバエンジニア日記
【関連する記事】
- これまでの対処法では解決できない新手のサポート詐欺 Part 2
- これまでの対処法では解決できない新手のサポート詐欺
- Microsoft アカウントの乗っ取りにご注意ください
- "http://〜" が "https://〜" に自動的に書き換わってWebサ..
- "http://〜" が "https://〜" に自動的に書き換わってWebサ..
- PC Manager が Microsoft Store 版に
- サポート詐欺の画面は、画面が消えれば終わり... ではないので注意が必要です
- 無線LANルーターとセキュリティ
- セキュリティソフトのアンインストール
- ESET の影響で、Microsoft Edge がクラッシュする