OpenSSL の HeartBleed脆弱性に対し、我々が注意すべきこととは? | トレンドマイクロ セキュリティブログ
社会生活においてサイバー空間がなくてはならないものになっている現代、我々は日々様々な脅威にさらされています。今回明らかになった OpenSSL の HeartBleed脆弱性への攻撃もその 1つです。情報漏えいやプライバシー情報の開示に関連する話題は後を絶たず、また昨今のサイバー犯罪者の目的が金銭搾取に集中していることはよく知られています。 トレンドマイクロでは、2014年4月、アンダーグラウンド市場ではどのような情報が売買されているのかを調査しました。そこでは、Facebook や Twitter など無料で利用できるサービスの ID・パスワードはまったくと言っていいほど出品されておらず、動画視聴などの有料サービスの “現在利用可能な” ID・パスワードが多数出品されていました。またサイバー犯罪者にとって使い勝手が良いと思われる、現在も有効なメールアドレスとそのパスワードもいくつか出品さ
Heartbleedでついに逮捕者。カナダ政府サイトから納税者情報が盗まれる
Heartbleedでついに逮捕者。カナダ政府サイトから納税者情報が盗まれる2014.04.17 19:00 福田ミホ でも多分、氷山の一角。 多くのサイトで使われているOpenSSLに見つかった巨大バグ、Heartbleedを使った犯罪がついに発覚しました。カナダの19歳男性がHeartbleedを悪用してカナダ政府のサイトから納税者情報を盗み出していたんです。これは、Heartbleed関連では初の逮捕者となります。 カナダ歳入庁によれば、 Stephen Solis-Reyes容疑者はHeartbleedの脆弱性を突いて社会保険番号を少なくとも900件盗み出しています。同庁ではこれを盗みとして扱うかどうかまだ決めていませんが、現時点ではコンピューターの不正利用とデータに関する器物損壊を逮捕理由としています。 Heartbleedを使った攻撃といっても、仕組み的に言ってそんな攻撃だけを
更新:OpenSSL の脆弱性対策について(CVE-2014-0160):IPA 独立行政法人 情報処理推進機構
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。 この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。 一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます: 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合) 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合) 既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。 脆弱性の解消 The OpenSSL Project または OS ベンダ等から提供されているアップデート、修正
OpenSSLの「心臓出血」脆弱性、被害報告が相次ぐ
カナダの歳入庁や英国の育児情報サイト「マムズネット」は現地時間2014年4月14日、「OpenSSL」の脆弱性を突いた攻撃による被害に遭ったことを相次いで公表した。悪用された脆弱性は、2014年4月7日に公表されたもの。この脆弱性については、セキュリティ組織などが注意を呼びかけている(関連記事)。対岸の火事ではない。OpenSSLを利用しているサーバーの管理者は確認および対応が急務だ。 OpenSSLとは、SSLやTLSを利用するためのライブラリ。SSL/TLSを利用するWebサーバーなどで広く利用されている。このOpenSSLに深刻な脆弱性が見つかった。OpenSSLを利用しているサーバーに対して、細工を施したデータを送信されるだけで、サーバーのメモリー上にある情報を盗み出される恐れがある。具体的には、そのサーバーを利用する別のユーザーがやり取りしているデータやパスワード、そのサーバーが
OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について:IPA 独立行政法人 情報処理推進機構
ウェブサイト上でのショッピングや金融取引における通信は一般に、SSL と呼ばれる方式で暗号化されています。この SSL を実現するソフトウェアの一つである OpenSSL に、情報漏えいの脆弱性が発見されました。https でアクセスできるウェブサイトは、この脆弱性の影響を受け、ウェブサイトから情報が漏えいする可能性があります。 図:脆弱性および、脆弱性から想定可能な影響のイメージ 漏えいした情報が悪用された結果、上図のような影響が生じる可能性があります。連鎖被害を防ぐために、下表のような対策をとることが推奨されます。 直接被害 派生(連鎖)被害 対策 ウェブサイト運営者 ウェブサイト利用者(一般ユーザ) 詳細は次節[ウェブサイト利用者(一般ユーザ)としての対応]参照 サイト秘密鍵の漏えい
OpenSSL の脆弱性に関する注意喚起
各位 JPCERT-AT-2014-0013 JPCERT/CC 2014-04-08(新規) 2014-04-11(更新) <<< JPCERT/CC Alert 2014-04-08 >>> OpenSSL の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140013.html I. 概要 OpenSSL Project が提供する OpenSSL の heartbeat 拡張には情報漏えいの 脆弱性があります。結果として、遠隔の第三者は、細工したパケットを送付す ることでシステムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得 する可能性があります。 管理するシステムにおいて該当するバージョンの OpenSSL を使用している場合 は、OpenSSL Project が提供する修正済みバージョンへアップデートすること をお勧めしま
OpenSSL 情報漏えいを許してしまう脆弱性 ~Heartbleed 問題~ について
2014年04月07日、 OpenSSL 情報漏えいを許してしまう脆弱性(CVE-2014-0160) ~Heartbleed 問題~ について報告されました。 インシデント情報活用フレームワーク検討 WGでは、インシデント対応技術調査 WG、日本シーサート協議会に加盟しているチームに協力を得て、インシデント発生を事前に予防する措置として、「OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~」に関する公開情報を調査し、本レポートにまとめました。 ・OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~ とは ・対策 ・ベンダ情報 ・観測日記 ・更新履歴 OpenSSL 情報漏えいを許してしまう脆弱性 ~ Heartbleed 問題~ は、 OpenSSL の TLS/DTLS 用 Heartbeat 拡張の実装に起因する情報漏えいを許
OpenSSLの脆弱性で初の被害、カナダや英国で発覚
カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。 また、育児情報サイトの英Mumsnetもこの問題を悪用され、ユーザーのアカウントに不正アクセスされていたことが分かったと発表した。OpenSSLの脆弱性は極めて広範に影響が及んでいるが、実際の被害が伝えられたのは初めて。 カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する
ハートブリード - Wikipedia
ハートブリードのロゴ。ロゴと「心臓出血」の名称はこの問題に衆目を集めて、啓蒙するために作られた[1][2] ハートブリード(英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグのことである。当時、信頼された認証局から証明書が発行されているインターネット上のWebサーバの約17%(約50万台)で、この脆弱性が存在するHeartbeat拡張が有効になっており、サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る可能性があった[3][4][5][6][7]。 経緯[編集] OpenSSLの脆弱性がCVSレポジトリに混入したのは2011年12月31日であり、原因はロビン・セゲルマンが提出し[8][9]、OpenSSLの開発チームがレビュー(審査)[10] した善意のパッチ(改善コード)である。脆弱
OpenSSLの脆弱性「Heartbleed」、米Paloalto Networksがシグネチャ配信
米Paloalto Networksは4月9日(現地時間)、OpenSSLにおいて「Heartbleed」と呼ばれる深刻な脆弱性が発見された問題について、同社のユーザー環境が保護されていることを発表した。 Heartbleedの問題は、OpenSSL 1.0.1~1.0.1fを実行しているサーバに影響があり、米NETCRAFTの発表では信頼できる認証局から発行された証明書を利用しているSSLWebサーバーの17%以上と推測されている。 この脆弱性(CVE-2014-0160:OpenSSL Private Key Disclosure Vulnerability)は、脆弱性のあるOpenSSLを利用しているエンタープライズ向けサーバーに深刻な影響を及ぼす。最悪の場合、SSL暗号化通信経由でエンドユーザーの通信内容が漏えいする可能性がある。 パロアルトネットワークスでは、この脆弱性に対処して
ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html
「ハートブリード」とは何か―基本5項目
This copy is for your personal, non-commercial use only. Distribution and use of this material are governed by our Subscriber Agreement and by copyright law. For non-personal use or to order multiple copies, please contact Dow Jones Reprints at 1-800-843-0008 or visit www.djreprints.com. http://jp.wsj.com/article/SB10001424052702303433504579498863228091356.html
あのサイトはセキュア? Heartbleed含め総合判断できるツールで調べてみた
あのサイトはセキュア? Heartbleed含め総合判断できるツールで調べてみた2014.04.12 18:00 satomi 世界のサイトの3分の2を巻き込む史上最大級のバグ「Heartbleed」。 金曜にはシスコ、ジュニパーからも注意勧告が出て、サイトのみならずファイアウォール、ルーター、スイッチのネットワーク機器にまで被害が拡大していることが明らかになりました。 もはや、2年前からずっとバグの存在を知っていながら国民に知らせずコレ幸いにせっせと脆弱性突いて諜報活動に励んでいたのは米国家安全保障局(NSA)ぐらい、という笑えない状況です。 気になるのは、どのサイトがセーフでどのサイトがアウトか、ですが、パスワード変更が要るサイトはこちら。 あと、ドメインを入力するだけでHeartbleed脆弱性の有無を判断できるツールもこことかに出てきましたよ(使うのも勇気要るけど)。 セキュリティ
まさに血を吹く心臓。ネット業界震撼の「Heartbleed」ってどんなもの?
まさに血を吹く心臓。ネット業界震撼の「Heartbleed」ってどんなもの?2014.04.11 12:358,228 福田ミホ 問題は1行のコードに。 パスワードやメール内容、決済情報など、暗号化されるはずのデータが筒抜けになってしまうバグ「Heartbleed」が発見されました。カナダ政府が確定申告サービスを閉鎖するほどの緊急事態になっていますが、実際どんな仕組みのバグなんでしょうか? 米ギズのエリック・ライマー記者が、コードの核心部分についてわかりやすいメタファーで解説してくれています。 Heartbleedがどんなものかざっくりいうと、OpenSSLという、コンピュータとサーバにお互いの素性を知らせ合うためのセキュリティプロトコルのバグです。このOpenSSLのバグのために、米Yahoo!やFlickr、Imgurといったサイト(リストはここに)が数年間セキュリティ面で脆弱な状態の
Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧
Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧2014.04.12 07:155,129 福田ミホ 多分ほぼみんな、どこかしらのサイトでパスワード変更を! 多くのWebサイトで使われているOpenSSLにHeartbleedという非常に深刻なバグが見つかりました。パスワードやメール、クレジットカード情報など、あらゆるタイプのデータが漏洩していた可能性があります。バグが見つかるまでの2年ほどの間、これらのデータが取り放題だったんです。 自分は大丈夫なの?と気になるところですが、MashableがHeartbleedの影響を受けたWebサイトやパスワード変更を呼びかけているWebサイトのリストをまとめてくれました。 あるWebサイトに脆弱性があったからといって、パスワードやクレジットカード番号やユーザー名といったまずい情報が抜き取られたとは限りません。た
国内でもHeartbleedを狙うパケットの増加を観測
「Heartbleed」脆弱性を狙う攻撃パケットの増加が国内でも観測された。あらためてWebサーバー側とエンドユーザー側、それぞれの対策を整理する。 オープンソースのSSL/TLS実装「OpenSSL」に、リモートからメモリ上のデータを読み取られてしまう可能性があるという「Heartbleed」脆弱性を狙う攻撃パケットの増加が観測された。一方でベンダーによる対策も進んでいる。 繰り返しになるが、この脆弱性はOpenSSLのバージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に問題があり、通信相手によって、プロセスのメモリ上のデータが読み出されてしまう恐れがある。つまり、タイミングによってはサーバー上の秘密鍵や、同じサービスを利用している他人のパスワード、セッション情報などが盗み見られる恐れがある(関連記事)。 特に影響が大きいのは、コンシューマーに対して何らかのサービ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Expired
暗号化ソフト欠陥、NSAは2年前から認識-情報収集に利用 - Bloomberg
OpenSSLの“出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45% 
OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 