Heartbleedは、OpenSSLの極めて重大な脆弱(ぜいじゃく)性の名前で、2014年4月1日に発見されました。この脆弱性によってハッカーは、通常ならアクセス権がない脆弱なWebサイトからデータを引き出すことが可能になります。このようなデータには、パスワード、ユーザー名やその他の機密情報が含まれている場合があります。Heartbleedの脆弱性は、「バッファオーバーリード」に分類されます。Webコミックxkcdには、この脆弱性が悪用される仕組みを非常に簡単に説明したイラストがあります。
何をすべきか
今回のような重大な脆弱性が発見された場合は、パスワードを変更するのが常に推奨される対策です。しかし、パスワードを変更する前に、Heartbleedの脆弱性があるか、ある場合は対策済みかをウェブサイトの発表で確認する必要があります。対策が施されていないサーバーでパスワードを変更しても、パスワードは依然としてハッカーに対して脆弱な状態のままです。
利用サイトが脆弱であるかをどのように知るか
MashableのWebサイトでは、Heartbleedの脆弱性の影響を受けた主要なWebサイトの一覧、および対策済みのサイトの一覧が確認できます。しかし、Mashableのサイトで対策済みとなっていても、やはりパスワードを変更するのがお勧めです。オンラインのパスワードに関する限り、安全すぎて困るということは絶対にありません。
さらに、マカフィーでは、サーバーが脆弱かどうかをチェックするオンラインツールを用意しています。Mashableの一覧に掲載されているのは、ほとんどが英語のWebサイトです。Line.meやAmazon.co.jpが脆弱かどうか知りたいのであればマカフィーからもツールを提供しています。お知らせページの注意事項を読みご利用ください。
※本ブログは2014年4月中旬に書かれたものの再掲載となります。
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)