Oligur

• ニュース

Heartbleed セキュリティバグの発見により、Web は壊滅的な OpenSSL の脆弱性でパニックに陥りました。

尊敬されるセキュリティアナリストで、あまり誇張する傾向のないブルース・シュナイアー氏によると、インターネットの大惨事を1から10の尺度で表すと、今回の事件は11にまで達するそうです。

回避策を講じているサイトからは「パスワードを変更してください」という叫び声が上がっています が、パスワードのリセットに夢中になるのはほんの数日だけ控えた方がよいかもしれません。

理由は次のとおりです。

Heartbleed の影響を受けない 1Password の開発者が説明しているように、多くのサーバーでは脆弱性が修正されておらず、おそらく数日間は修正されないため、作成する新しいパスワードが今後も盗まれ、使用される可能性があります。

いずれ多くのパスワードを変更する必要が出てくるでしょう。しかし、今すぐ変更する必要はありません。すべてのサーバーが影響を受けるわけではなく、影響を受けるサーバーは、パスワードを変更する前に、サーバー側で問題を修正する必要があります。サーバーが修正する前にパスワードを変更すると、新しいパスワードも盗聴される危険性があります。

現時点で私たちにできることは、待つことだけです。おそらく、今後数日以内に、様々なサービスプロバイダーが、ユーザーがいつパスワードを変更すべきか、あるいは他の機密情報が漏洩した可能性があることに注意すべきかを発表するでしょう。

それで、プロバイダーが問題を解決するのになぜそんなに時間がかかっているのでしょうか?

まず、脆弱性の有無を確認する必要があります。そのためには、使用しているSSL/TLSサービスがOPENSSL 1.0.1～1.0.1fを使用しているかどうかを確認する必要があります。OpenSSLの修正バージョン（1.0.1g）にアップグレードした後、古い証明書を失効させ、証明機関と交渉して新しい証明書を取得する必要があります。

証明機関は今後数日間、非常に忙しくなるでしょう。

出典: AgileBits