こんにちは。ブリッジコーポレーションの清本です。
少し前になりますが、4月は悪い意味で脆弱性の大豊作でした。OpenSSLにDNS、Apache StrutsにIEまで出てきました。もうお腹いっぱいです。
運悪くWindowsXPのサポート終了直後でしたが、未だ数多く使われていることも有り対応せざるおえなかったのでしょう。WindowsXPもIEの脆弱性対応の対象としてWindowsUpdateで解消出来るようになりました。
そもそもWindowsXPをまだ使っているのならWindows7やWindows8.1などへの移行をお薦めします。
過去にも様々な脆弱性は報告されておりますが、特にOpenSSLの脆弱性は深刻で緊急度が高く、早期の対応が求められるものでした。
ニュースサイトなどインターネットのみならずTVや新聞などで報道される勢いで、普段はインターネットセキュリティに縁のない一般の方にも目に触れることとなりました。
そのような事もあり、弊社のお客様からのお問い合わせがとても増えました。
弊社担当者は色んな意味で悲鳴を上げていましたが、同業他社の担当者もさぞかし大変だった(今も?)かと思います。
さて、今回のOpenSSLの脆弱性はどのくらいヤバイのか。危険度が高い緊急性が高いと書いてもピンと来ない方が多いかと思います。
一部では、10段階評価で11の危険度などと言われていますが、具体的に例をあげると以下の様な情報が漏洩するおそれがあります。
- 「クレジットカード番号」
- 「ログインIDやパスワード」
- 「暗号通信用に必要な情報」
上記のような重要な情報が「ダダ漏れ」に近い状況になります。特に「暗号通信用に必要な情報」が漏洩した場合、過去の暗号通信が記録されていると、過去にさかのぼって暗号を解除され通信内容を盗まれてしまいます。更に困ったことに、この脆弱性を利用して情報が盗まれてもサーバーに痕跡が残りません。
実際にセキュリティが強固であるはずのクレジット会社のWebサイトで不正なアクセスが発見されておりニュースになりました。この脆弱性の情報公開から1週間で4万件を超えるサイバー攻撃が検出されたと警察庁の発表も有りました。一年間ではなく、一週間で4万件ですよ。
あなたのWEBサイトは大丈夫ですか?
