【ヤバイ】インターネットのセキュリティに使われている『OpenSSL』に重大なバグが発見!このバグを悪用すると痕跡を残さずにデータやパスワードを盗めるらしいぞ・・・

  • follow us in feedly
saten20091122
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 - TechCrunch

picture_00181

今日(米国時間4/7)の午後、私の知っている多くのセキュリティー関係者がうろたえている。

非常に深刻なバグがOpenSSLに見つかり、公表された。OpenSSLは、インターネットトラフィックの非常に〈非常に〉多くの部分で使われている暗号化ライブラリーだ。

OpenSSLという言葉を聞いたことのない人でも、何らかの形、いやおそらく多くの形で、自分の生活に関わっているはずだ。あなたの使うアプリや訪れるサイトでやり取りするデータが暗号化されていれば、OpenSSLを使っている可能性か高い。例えば、インターネットの50%で使われていると言われるApacheウェブサーバーは、OpenSSLを使っている。


セキュリティー研究者らが “Heartbleed“と呼ぶそのバグを悪用すると、過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。

それで何が困るのか。サーバーのシステムメモリーには、極めて機密性の高いデータが置かれていることが多い。例えば、通信データ(ユーザー名、パスワード、クレジットカード等)を暗復号化するためのキー。つまり、アタッカーは容易に秘密の鍵を取り出すことが可能になり、傍受したデータをあたかも暗号化されていなかったかのように読むことができる。これらのキーを持てば、アタッカーが他人になりすまして本来機密性の高いサイトやサーバーに侵入することもできる。

そして、もしどこかのアタッカーが、いずれ解読するつもりでサーバーから山ほどの暗号化データを取り出して持っていたら? それらを解読するためのキーを手に入れているかもしれない(アタックしたサーバーの構成による。例えば、Perfect Forward Secrecyを使って設定されているかどうか)。

非常に控え目に言って、これは悪いニュースだ。

問題のバグは、OpenSSLの “heartbeat” という機能の実装に存在する。そこから “Heartbleed” と名付けられた。

このバグは、OpenSSLに2年以上存在していたが(2011年12月以来、OpenSSL 1.0.1〜1.0.1f)、今日初めて発見され公表された。さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。つまり、システム管理者は自分のサーバーが侵入されたかどうかを知る術がない。されたと仮定するほかはない。

以下、全文を読む


<この記事への反応>

これって大騒ぎになるレベルでやばいやつだよね・・・
マイクラも緊急でサーバー落としたし


こりゃー、まいったね。緊急パッチは出ている模様。世のシステム運用者は大変だ

SSL脆弱性警報。影響範囲広いな

これは怖い。ちゃんとパッチ適用してるサイトか分からない状況で買物することになる

サーバ管理者としては死ぬ程頭の痛い案件キター







今日あったマインクラフトの緊急メンテもこれのせいだと言われてる
ここ2日間でマイクラにログインしててセキュリティに万全を期したい人は
パスワードを変更したほうがいいらしいぞ
つーか、OpenSSLはマイクラだけじゃなくて色んな所に使われているシステムだから
今後続報がある可能性もあるな・・・
やらない夫 腕組み





OpenSSLとかよくわかんねぇけど
とりあえずボクのアカウント”だけ”は盗まれませんようにー!
やる夫 PC 両目 瞑り





(うわ、相変わらずクズいなこいつは・・・)
やらない夫 基本1

テラリア

発売日:2013-05-23
メーカー:スパイク・チュンソフト
カテゴリ:Video Games
セールスランク:375
Amazon.co.jp で詳細を見る

PlayStation 4

発売日:2014-02-22
メーカー:ソニー・コンピュータエンタテインメント
カテゴリ:Video Games
セールスランク:14
Amazon.co.jp で詳細を見る


今週の人気記事

その他おすすめサイト


Amazonお買い得品ランキング

COMMENT

コメントする

・NGワードはライブドア基準です。
・スパム対策で「http://〜」はコメントできません。
・住所や電話番号等の個人情報は書込みしないでください。
・稀に連続でコメントするとスパム扱いになりコメントできなくなる場合がある様です、しばらく待ってからコメントしてください。
名前
コメント

この記事へのコメント

  • 1  名前: 名無しオレ的ゲーム速報さん 返信する
    jinはデフォルトでクズだろ
  • 2  名前: 名無しオレ的ゲーム速報さん 返信する
    影響範囲でかすぎ
  • 3  名前: 名無しオレ的ゲーム速報さん 返信する
    JCBが成りすましログインされてたのこれのせいかね?
  • 4  名前: 名無しゲーマーさん 返信する
    なるほど、それで昨日辺りからあちこちのログインサーバがメンテ落ちしてたのか。
  • 5  名前: 名無しオレ的ゲーム速報さん 返信する
    終わった・・・
  • 6  名前: 名無しゲーマーさん 返信する
    FF11とかもこれか?
  • 7  名前: 名無しゲーマーさん 返信する
    Joshinで急にパスが通らなくなってたのもこれ原因なのか?
  • 8  名前: 名無しオレ的ゲーム速報さん 返信する
    そもそもお前マイクラやってないくせに、
    どの口が言うか。
  • 9  名前: 名無しゲーマーさん 返信する
    なんかFacebookのアカウントで不正ログインだかってメール来ててパス変えたけどこれのせいなのかな…
  • 10  名前: 名無しゲーマーさん 返信する
    おせえよ
  • 11  名前: 名無しゲーマーさん 返信する
    昨日俺が家から出れなかったのもこれだな
  • 12  名前: 名無しゲーマーさん 返信する
    >>11
    それは仕様です
  • 13  名前: 名無しゲーマーさん 返信する
    よく分からんがかなり信頼性の高かったものに脆弱性が見つかったってことか?
    見つけたやつ凄いな
  • 14  名前: 名無しゲーマーさん 返信する
    ちょっとまてや。
    OpenSSLに脆弱性とかマジで笑えないんだが。
  • 15  名前: 名無しゲーマーさん 返信する
    な?
    XP以外のOS使ってたって至る所で「微弱性」が発生する可能性があるんだぜ?

    信じられるのはOSじゃなくて、「己のPC知識」のみなんだぜ?
  • 16  名前: 名無しゲーマーさん 返信する
    いくら錠前を付けてても、その錠前の合鍵が流出してちゃ意味無いもんな
  • 17  名前: 名無しゲーマーさん 返信する
    まあこうやって発覚した問題はいいんだけどさ
    問題は犯罪者が抱え込んでる問題の数々なんだよなあ

    >>15
    クソックソッお前の微弱性には突っ込まずに居られなかった
  • 18  名前: 名無しゲーマーさん 返信する
    ヤバすぎ
    既に色々乗っ取られてるだろな
  • 19  名前: 名無しゲーマーさん 返信する
    Windowsは影響を受けないと思われるって記事みたけど
  • 20  名前: 名無しゲーマーさん 返信する
    AA使って自分で自分のことクズって言わせんのって端から見るとかなり痛いな
  • 21  名前: 名無しゲーマーさん 返信する
    windowsの上でapache走らせてHP作ってないか?
  • 22  名前: 名無しゲーマーさん 返信する
    WindowsならwebサーバーはIISじゃないの?
    わざわざapache+OpenSSL使う?
  • 23  名前: 名無しゲーマーさん 返信する
    よくわからんがamazonは使っていいかな?
  • 24  名前: 名無しゲーマーさん 返信する
    ・2年前から開発側は知っていたが対策が取れたので公開した
    ・2年前から開発側は知っていたがお手上げで広く対策を求めた
    ・2年前から開発側は知っていたが放置していた、
     バグを利用したハッキングが出たので公開に踏み切った

    このどれか
  • 25  名前: 名無しゲーマーさん 返信する


    この記事の反応ってどこの反応??


    このサイトのバイト達の反応??


    ???

  • 26  名前: 名無しゲーマーさん 返信する
    大変危険が危ない危機的状況
  • 27  名前: 名無しゲーマーさん 返信する
    >>15
    微弱生ってなんだよ
  • 28  名前: 名無しゲーマーさん 返信する
    食品安全基準、医療、金融、保険、労働、著作権、放送、電気通信、法務、士業、教育、郵政、公共事業なども対象
    「サルでもわかるTPP」「日本分断工作スレを報告するスレ」で検索

コメントする

・NGワードはライブドア基準です。
・スパム対策で「http://〜」はコメントできません。
・住所や電話番号等の個人情報は書込みしないでください。
・稀に連続でコメントするとスパム扱いになりコメントできなくなる場合がある様です、しばらく待ってからコメントしてください。
名前
コメント
ページトップに戻る
スポンサードリンク
スポンサードリンク
スポンサードリンク
カテゴリー別過去ログ
月別アーカイブ
QRコード
QRコード
逆アクセスランキング
スポンサードリンク