ユーザー名、パスワード、クレジットカード番号などのデータを保護するために暗号化コードを使用するウェブサイトが増えています。
この暗号化プロトコルはSSL(Secure Sockets Layer)またはTLS(Transport Layer Security Protocol)と呼ばれています。ウェブサイトがこのセキュリティプロトコルを使用すると、ブラウザのアドレスバーの横に南京錠のアイコンが表示されます。
暗号化コードを書くのは複雑なので、多くのウェブサイトはOpenSSLと呼ばれるオープンソースの無料のセキュリティプロトコルを使用しています。
昨日、OpenSSLの暗号化コードにHeartbleedと呼ばれる深刻なセキュリティ上の欠陥があることが明らかになりました。Googleとサイバーセキュリティ企業Codenomiconの研究者によると、この脆弱性は2年前から存在しており、アクティブなウェブサイトの3分の2が欠陥のある暗号化プロトコルを使用しているとのこと。
Heartbleedバグは、インターネット上の誰でもが、システムの保護されたメモリ、サービス・プロバイダーを識別し、トラフィックを暗号化するために使用される漏洩したキー、ユーザー名、パスワード、および実際のコンテンツを読むことができる可能性があります。この脆弱性により、攻撃者は、サービス・プロバイダーとユーザーの両方をエミュレートすることで、通信を盗聴し、サービス・プロバイダーから直接データを盗むことができます。
現在影響を受けているのは、OpenSSL バージョン 1.0.1 および 1.0.2-beta のみで、これには 1.0.1f および 1.0.2-beta1 が含まれます。
heartbleed "脆弱性は広範囲かつ隠れた性質を持っているため、今後ますます多くの問題が発生するでしょう。ACEは、ISPに対し、OpenSSLをできるだけ早く1.0にアップグレードするよう提案しています。OpenSSLプロジェクトは、すでにセキュリティ情報および対応するパッチsecadv_20140407:TLS heartbeat read overrunをリリースしています。
