OpenSSLの重大な脆弱性「Heartbleed問題」への対応に追われるネット業界
2014年4月14日 15:03
taraiok 曰く、 OpenSSL 1.0.1/1.0.2系にて、秘密鍵などの漏えいにつながるバグが見つかったいわゆる「Heartbleed」問題を受けて、カナダ歳入庁が納税者情報の保護を目的に納税申告サイトを閉鎖した。同庁によれば、安全を期すための予備的なものだとしている(NETWORKWORLD、slashdot)。
また、個人納税者に対し申告期日の4月30日を過ぎた場合でも、オンラインサービスが中断していたのと同等時間分に関しては罰則は課せられない、という異例の発表も行われている。
そのほか、大手サイトでもこの問題を受けて対応が進められている。今回の問題の影響範囲は広く、Mashableの記事ではFacebookやInstagram、Pinterest、Tumblr、Google、Yahoo!(米国)などのサービスについて、ユーザーはパスワードを変更した方が良いとすすめている。ただ、Googleは「ユーザーがパスワードを変更する必要は無い」と述べている(Reutersの記事)。
いっぽう、OpenSSLを採用せず、独自にSSL/TLSを実装しているWindows環境においてはこの影響は少なく、MicrosoftはMicrosoft Azure、Office 365、Yammer、および Skype について影響がないことを発表している。
また、Heartbleed脆弱性を悪用することで通信内容や秘密鍵などが窃取される可能性があるが、4月9日以降、これを狙った攻撃と思われるものが多数観測されているという(@IT)。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | インターネット
関連ストーリー:
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない 2014年04月13日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
マルウェアの制御サーバにて200万件以上のパスワード発見。大手ウェブサービスなども被害 2013年12月10日