OpenSSL脆弱性について

Heartbleedは、OpenSSLの極めて重大な脆弱(ぜいじゃく)性の名前で、2014年4月1日に発見されました。この脆弱性によってハッカーは、通常ならアクセス権がない脆弱なWebサイトからデータを引き出すことが可能になります。このようなデータには、パスワード、ユーザー名やその他の機密情報が含まれている場合があります。Heartbleedの脆弱性は、「バッファオーバーリード」に分類されます。Webコミックxkcdには、この脆弱性が悪用される仕組みを非常に簡単に説明したイラストがあります。

何をすべきか

今回のような重大な脆弱性が発見された場合は、パスワードを変更するのが常に推奨される対策です。しかし、パスワードを変更する前に、Heartbleedの脆弱性があるか、ある場合は対策済みかをウェブサイトの発表で確認する必要があります。対策が施されていないサーバーでパスワードを変更しても、パスワードは依然としてハッカーに対して脆弱な状態のままです。

利用サイトが脆弱であるかをどのように知るか

MashableのWebサイトでは、Heartbleedの脆弱性の影響を受けた主要なWebサイトの一覧、および対策済みのサイトの一覧が確認できます。しかし、Mashableのサイトで対策済みとなっていても、やはりパスワードを変更するのがお勧めです。オンラインのパスワードに関する限り、安全すぎて困るということは絶対にありません。

さらに、マカフィーでは、サーバーが脆弱かどうかをチェックするオンラインツールを用意しています。Mashableの一覧に掲載されているのは、ほとんどが英語のWebサイトです。Line.meやAmazon.co.jpが脆弱かどうか知りたいのであればマカフィーからもツールを提供しています。お知らせページの注意事項を読みご利用ください。

 ※本ブログは2014年4月中旬に書かれたものの再掲載となります。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速