深刻なSSL関係のセキュリティ問題

コメント(0)

SSL関係のセキュリティ問題が深刻化しているようです。

私のレベルでは、良くわからないのですが、さる筋からの情報では、かなりやばいようです。

というわけで、みなさんご注意を!

  

急げアプデ! 今回のアップルの脆弱性はかなりやばいぞ(追記あり)をご覧あれ。

下記は引用です。

  

防衛策は?

iOS端末使ってる人は7.0.6を今すぐダウンロードしてね。3GSや古いiPod touchの人はiOS 6.1.6を代わりにダウンロードできます。

さっさと終了してしまいたいこんな古いバージョンまで対応してること自体、アップルが深刻に受け止めている何よりの表れです。

でもOS X持ちの人は打つ手なし*。非公式のパッチも探せばありますが、初心者向けではありません。

当面はOS Xでも影響を受けないChromeかFirefoxを使ってしのぎましょう。

やばいサイトを見るときはセキュアなネットワークに繋ぐようにしてください。

公共Wi-Fiでネット繋ぐときは見られてもいいサイトだけに。銀行やクレジットカードの情報は絶対入れちゃ駄目だし、決済もだめ、個人情報も入れちゃだめですよ。

当たり前のことだけど、普段以上に心がけるようにしてくださいね。

早くこいこい修正パッチ。

何週間と言わず、今すぐにでも欲しいです!

*UPDATE:おっときました修正パッチ! Mavericksの人はApp Storeで今すぐOS X 10.9.2にアップデートしましょう。できればセキュアなネット接続がベターです。

 

 

史上最悪のネットセキュリティ危機と騒がれてる「Heartbleed」問題に関するメモ(よくわかっていない素人レベル)の解説が、わかりやすいでしょう。

  

下記は引用です。

   

  • 対策としては、一般ユーザとしてはバグが修正されたことが発表されたサイトでのみ、PWを新たに変更すること。修正される前にPW変更しても、そのPWがまた流出する恐れがあるし、もともと修正の必要がなかったサイトならPWを変更する必要もない
  • ただし、複数のサイトで同じPWを使っていた場合は、「もともと脆弱性がなく、修正の必要がなかった」ことが明らかになっているサイトについてもPWを変更したほうが良い。たとえば脆弱性があったYahoo!から漏れたID・PWで、もともと脆弱性のなかったAmazonにログインされたりするわけなので
  • サービスの運営元から「脆弱性を修正したので、下記URLからパスワードを変更してください」みたいなメールが届いても、URLをクリックしてはいけない。今回は、クラッカー側が完璧な偽サイトをつくることができるから。PWの変更は、従来から使ってたブックマークなどからアクセスして行うこと
  • サイト運営者は、Open SSLのバージョンを更新したり、サーバ証明書(既に盗み出されている可能性があるので)を更新したりしているらしい
  • 大手じゃないサイト(中小のネットショップやwebサービス)で、丁寧な運営をしていなかったら、影響があったのか、修正されたのかすらわからないケースが多いと思うけど、そういうのは利用者側が努力しても無駄なのでたぶん諦めた方がいい。クレカ情報とか登録してたら、それも漏れてるかもしれないが、諦めて月々の明細に不正利用が含まれていないかを丹念にチェックすることとする

 
 で、今後、インターネットを利用する上で気をつけることとしては、
 

  1. 複数のサイトで同じPWを使わない
  2. PWは定期的に変更する(複雑なPWにすることよりも定期的に変更することのほうが大事)
  3. GoogleEvernoteDropboxなどのように、二段階認証を導入しているサービスでは、必ず二段階認証を有効にしておく
  4. クレカ情報や個人情報をむやみに登録しない
  5. 大手以外のサービスはなるべく使わない(こういう危機が起きたときにちゃんと対応してくれるかわからないので。人とカネに余裕がないと無理でしょ)
  6. 情報を登録したサイトはすべて把握しておく
  7. 今回のような事態は専門家ですら把握できてなかったのだから、インターネットでは全ての情報は漏れる恐れがあると想定して、最悪漏れても構わない情報以外は手元で管理する(危険度:ネット上>>>>ローカルの端末>>紙)
  8. セキュリティ関係のニュースは見落とさないようにする。今回もそうだが、ニュースになるとその時点から世界中のクラッカーたちがより一層ハッスルし始めるわけなので、そのタイミングで迅速にPW変更などの対策を打たないと、とても危険だと思う
  9. 素人レベルでいいから、インターネットのインフラやセキュリティに関してはなるべく勉強しておく。「SSL」とか「オープンウェア」とか言われて何のことか全くわからない状態だと、ニュースが流れてきてもヤバさのイメージすらできないと思う*2
  10. 技術に詳しい友人をもつ


 ぐらいか。

 

関連情報

 

Apple史上最悪のセキュリティバグか、iOSとOS XのSSL接続に危険すぎる脆弱性が発覚──原因はタイプミス?

データ暗号化ソフト「オープンSSL」で脆弱性

 

 

コメントする

2014年4月

« 前月 翌月 »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      

2014年4月

月別アーカイブ