OpenSSLの脆弱性(Heartbleed)の確認方法 [脆弱性]
もう対応終わってるサイトが多いとは思いますが、一応手順をさらってみます。
OpenSSLのheartbeat拡張に情報漏えいの脆弱性がありました。
脆弱性自体は結構昔からあって、2年くらい前から存在したようです。
そんな脆弱性を最近Googleのセキュリティ調査をしているNeel Mehtaさんが
発見したそうです。グッジョブ!
んなわけで注意喚起が行われたのですが、結構対象範囲が多いんですね。
とりあえず、opensslのバージョンが下記のものです。
OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1
最新版の 1.0.1g や1.0.1未満は問題ないという話でした。
1.0.0は一部問題あるっていう話もあるので要注意ですが・・・
さて、httpsとしてSSL設置してるサイトでは簡単にチェックできるので、
下記サイトから試してみてください。
https://filippo.io/Heartbleed/
→アウト「○○○ IS VULNERABLE.」
https://lastpass.com/heartbleed/
→アウト「Was vulnerable: Possibly (known use OpenSSL, but might be using a safe version)」
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
→アウト「This site has the Heartbleed vulnerability.」
さて、皆さん大丈夫でしたでしょうか?
IDやパスワードなど抜かれている可能性が高いので変更したほうがいいです。
SSLに関しては下記フローで入れ替えてください。
1.OpenSSLのバージョンアップ・再コンパイル
2.秘密鍵・CSRの再作成
3.サーバ証明書の再発行
4.サーバ証明書の設定
5.再発行元のサーバ証明書の失効
失効手続きが自動でできないとこもあるので要注意ですね。
ちなみに、AndroidでもOpenSSL組み込んでるようなので、下記参考に
チェックを行ってみてください。
http://www.forest.impress.co.jp/docs/serial/androidlab/20140423_645722.html
結構めんどくさいですし、まだ対応終わってないサイトも多いようです。
すでに三菱UFJニコスがこの脆弱性で攻撃を受けて、情報漏えいしてます。
http://internet.watch.impress.co.jp/docs/news/20140421_645291.html
専用の啓蒙サイトも立ち上がってるので参照してみてください。
http://heartbleed.com/
OpenSSLのheartbeat拡張に情報漏えいの脆弱性がありました。
脆弱性自体は結構昔からあって、2年くらい前から存在したようです。
そんな脆弱性を最近Googleのセキュリティ調査をしているNeel Mehtaさんが
発見したそうです。グッジョブ!
んなわけで注意喚起が行われたのですが、結構対象範囲が多いんですね。
とりあえず、opensslのバージョンが下記のものです。
OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1
最新版の 1.0.1g や1.0.1未満は問題ないという話でした。
1.0.0は一部問題あるっていう話もあるので要注意ですが・・・
さて、httpsとしてSSL設置してるサイトでは簡単にチェックできるので、
下記サイトから試してみてください。
https://filippo.io/Heartbleed/
→アウト「○○○ IS VULNERABLE.」
https://lastpass.com/heartbleed/
→アウト「Was vulnerable: Possibly (known use OpenSSL, but might be using a safe version)」
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
→アウト「This site has the Heartbleed vulnerability.」
さて、皆さん大丈夫でしたでしょうか?
IDやパスワードなど抜かれている可能性が高いので変更したほうがいいです。
SSLに関しては下記フローで入れ替えてください。
1.OpenSSLのバージョンアップ・再コンパイル
2.秘密鍵・CSRの再作成
3.サーバ証明書の再発行
4.サーバ証明書の設定
5.再発行元のサーバ証明書の失効
失効手続きが自動でできないとこもあるので要注意ですね。
ちなみに、AndroidでもOpenSSL組み込んでるようなので、下記参考に
チェックを行ってみてください。
http://www.forest.impress.co.jp/docs/serial/androidlab/20140423_645722.html
結構めんどくさいですし、まだ対応終わってないサイトも多いようです。
すでに三菱UFJニコスがこの脆弱性で攻撃を受けて、情報漏えいしてます。
http://internet.watch.impress.co.jp/docs/news/20140421_645291.html
専用の啓蒙サイトも立ち上がってるので参照してみてください。
http://heartbleed.com/
マイソニークラブに不正アクセスでポイント不正使用 [不正アクセス]
ソニーが運営する会員制サイトのマイソニークラブに不正アクセスがあったようです。
会員数は約800万人いるので、かなり巨大な組織ですね。
そのサイトに対して、成りすましの不正アクセスがあったようです。
今回は特に攻撃があったということではなく、他のサイトからの漏洩と見られています。
アカウントのパスワードを使いまわしで使っていると、こういうことが起こります。
結局、ユーザ自体のリテラシーの問題なんだと思います。
個人的にはパスワード管理にはツールを使うようにして、同じパスワードを
なるべく使用しないようにしています。
昔登録したサイトなどは同じものがあったりするので、順次入れ替えています。
一応、使ってるツールのLastPassを紹介しておきます。
https://lastpass.com/
このツールを使って、さらに2要素認証も使用しています。
2要素認証には Duo Security というところを使用していますが、Googleのやつでもいいとは思います。
https://www.duosecurity.com/
会員数は約800万人いるので、かなり巨大な組織ですね。
そのサイトに対して、成りすましの不正アクセスがあったようです。
今回は特に攻撃があったということではなく、他のサイトからの漏洩と見られています。
アカウントのパスワードを使いまわしで使っていると、こういうことが起こります。
結局、ユーザ自体のリテラシーの問題なんだと思います。
個人的にはパスワード管理にはツールを使うようにして、同じパスワードを
なるべく使用しないようにしています。
昔登録したサイトなどは同じものがあったりするので、順次入れ替えています。
一応、使ってるツールのLastPassを紹介しておきます。
https://lastpass.com/
このツールを使って、さらに2要素認証も使用しています。
2要素認証には Duo Security というところを使用していますが、Googleのやつでもいいとは思います。
https://www.duosecurity.com/
iTunes match がとうとう日本で対応 [サービス]
米国では一足先に始まっていた iTunes match ですが、日本でも始まったという話で
今朝から結構話題になっています。
まぁ、一足先とは言うのですが、米国では2年半前に始まってるんですね。
iTunes match はどういうサービスかというと、自分の iTunes に入っている曲を
Appleのサーバと照合して、ある曲について他の端末でも聞けるという感じです。
今まで同じアカウントでも他のPCだとiTunesのデータは特殊な方法を使わないと
共有できなかったのですが、それができるということですかね。
まぁ、便利といえば便利ですね。
個人的にはあんまり iTenes には取り込んでないので、今後考えますがw
ただ、このサービス、年間3980円します。
高いか安いか迷うとこですね。
便利な人には便利なサービスだと思いますし、身の回りではさっそく申し込みを
している人も居たりと、活況を呈しています。
皆様もご検討あれ。
iTunes Store:iTunes Match の登録方法
http://support.apple.com/kb/ht4914?viewlocale=ja_JP&locale=ja_JP
今朝から結構話題になっています。
まぁ、一足先とは言うのですが、米国では2年半前に始まってるんですね。
iTunes match はどういうサービスかというと、自分の iTunes に入っている曲を
Appleのサーバと照合して、ある曲について他の端末でも聞けるという感じです。
今まで同じアカウントでも他のPCだとiTunesのデータは特殊な方法を使わないと
共有できなかったのですが、それができるということですかね。
まぁ、便利といえば便利ですね。
個人的にはあんまり iTenes には取り込んでないので、今後考えますがw
ただ、このサービス、年間3980円します。
高いか安いか迷うとこですね。
便利な人には便利なサービスだと思いますし、身の回りではさっそく申し込みを
している人も居たりと、活況を呈しています。
皆様もご検討あれ。
iTunes Store:iTunes Match の登録方法
http://support.apple.com/kb/ht4914?viewlocale=ja_JP&locale=ja_JP
タグ:iTunes Match
マイクロソフトのIEに対する脆弱性対策 [脆弱性]
先日(2014/4/27)にマイクロソフトのInternet Explorer(通称IE)に脆弱性があると発表されました。
しかも、その脆弱性には対応策がないということで、多くの企業ではIEの使用禁止令が出ました。
通常、マイクロソフトでは定例パッチと言って、月に一回まとめて脆弱性パッチを配布しています。
しかし、今回は相当シビアだったこともあり、本日WindowsUpdateでパッチが配布されました。
自動更新にしている方は、今日修正プログラムが適用されたことと思います。
自動にしていない方は、ぜひWindowsUpdateを行ってください。
対象は、IE6~IE11と、Windowsを使用しているすべての方と言ってよいと思います。
今回限りだとは思いますが、サポートの切れたWindowsXPに対しても配布されるそうです。
さて、今回の脆弱性ですが、どのようなものだったのか、ざっとさらってみましょう。
JVNによると、危険性は10.0でマックスです。
脆弱性の内容としては、
「解放済みメモリ使用 (use-after-free) の脆弱性」
とのことです。
想定される影響ですが、
「細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性がある」
とのことでした。
要は、普通にインターネットをIEで閲覧するだけで危険だよってことだったのですね。
WindowsUpdateしたから安心ではなく、怪しいサイトにアクセスしないなど気をつけましょう。
しかも、その脆弱性には対応策がないということで、多くの企業ではIEの使用禁止令が出ました。
通常、マイクロソフトでは定例パッチと言って、月に一回まとめて脆弱性パッチを配布しています。
しかし、今回は相当シビアだったこともあり、本日WindowsUpdateでパッチが配布されました。
自動更新にしている方は、今日修正プログラムが適用されたことと思います。
自動にしていない方は、ぜひWindowsUpdateを行ってください。
対象は、IE6~IE11と、Windowsを使用しているすべての方と言ってよいと思います。
今回限りだとは思いますが、サポートの切れたWindowsXPに対しても配布されるそうです。
さて、今回の脆弱性ですが、どのようなものだったのか、ざっとさらってみましょう。
JVNによると、危険性は10.0でマックスです。
脆弱性の内容としては、
「解放済みメモリ使用 (use-after-free) の脆弱性」
とのことです。
想定される影響ですが、
「細工された HTML ドキュメントを閲覧することで、任意のコードを実行される可能性がある」
とのことでした。
要は、普通にインターネットをIEで閲覧するだけで危険だよってことだったのですね。
WindowsUpdateしたから安心ではなく、怪しいサイトにアクセスしないなど気をつけましょう。
