パスワードを忘れた? アカウント作成
10828836 story
インターネット

OpenSSLの重大な脆弱性「Heartbleed問題」への対応に追われるネット業界 56

ストーリー by hylom
変えられるなら変えたほうが良いのは確か 部門より
taraiok 曰く、

OpenSSL 1.0.1/1.0.2系にて、秘密鍵などの漏えいにつながるバグが見つかったいわゆる「Heartbleed」問題を受けて、カナダ歳入庁が納税者情報の保護を目的に納税申告サイトを閉鎖した。同庁によれば、安全を期すための予備的なものだとしている(NETWORKWORLDslashdot)。

また、個人納税者に対し申告期日の4月30日を過ぎた場合でも、オンラインサービスが中断していたのと同等時間分に関しては罰則は課せられない、という異例の発表も行われている。

そのほか、大手サイトでもこの問題を受けて対応が進められている。今回の問題の影響範囲は広く、Mashableの記事ではFacebookやInstagram、Pinterest、Tumblr、Google、Yahoo!(米国)などのサービスについて、ユーザーはパスワードを変更した方が良いとすすめている。ただ、Googleは「ユーザーがパスワードを変更する必要は無い」と述べている(Reutersの記事)。

いっぽう、OpenSSLを採用せず、独自にSSL/TLSを実装しているWindows環境においてはこの影響は少なく、MicrosoftはMicrosoft Azure、Office 365、Yammer、および Skype について影響がないことを発表している。

また、Heartbleed脆弱性を悪用することで通信内容や秘密鍵などが窃取される可能性があるが、4月9日以降、これを狙った攻撃と思われるものが多数観測されているという(@IT)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • チェックサイト (スコア:2, 参考になる)

    by Anonymous Coward on 2014年04月14日 15時38分 (#2581798)

    VeriSignからチェック用のサイトがあるから確認してね!と
    先週末にもメールが来てました

    https://knowledge.verisign.co.jp/support/ssl-certificates-support/inde... [verisign.co.jp]

  • by Ryo.F (3896) on 2014年04月14日 15時40分 (#2581801) 日記

    大してトラフィックのあるサーバじゃないんですが、数日前からUTMでちらほらHeartbleed攻撃が観察されてます。
    UTMのパターンが更新されたタイミングから、検出される様になった、ってことなのかな。

  • by Anonymous Coward on 2014年04月14日 16時05分 (#2581823)

    FoxBleed :: Add-ons for Firefox
    https://addons.mozilla.org/firefox/addon/foxbleed/ [mozilla.org]

  • by Anonymous Coward on 2014年04月15日 9時52分 (#2582286)

    OpenSSLの脆弱性で初の被害、カナダや英国で発覚 [itmedia.co.jp]

    カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する不正アクセスが発覚したという。

    一方、Mumsnetは10日に脆弱性の存在を知って調査に乗り出し、OpenSSLの脆弱性を修正。しかし、それ以前にユーザーのデータが流出していたことが判明した。11日にはユーザーのアカウントが不正アクセスされていたことも分かった。

    でも、元記事では今回の脆弱性による攻撃とされているけど、念入りにチェックした結果過去の別の攻撃が明らかになったんじゃとか思わないわけでもない。

  • by Anonymous Coward on 2014年04月14日 15時26分 (#2581782)

    今回の問題の影響範囲は広く、Mashableの記事ではFacebookやInstagram、Pinterest、Tumblr、Google、Yahoo!(米国)などのサービスについて、ユーザーはパスワードを変更した方が良いとすすめている。ただ、Googleは「ユーザーがパスワードを変更する必要は無い」と述べている(Reutersの記事)。

    /.Jは?

    • Re:あのう (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2014年04月14日 15時34分 (#2581791)

      さいわい、SlashdotにHTTPSのページはない。

      #これはこれで問題だが。

      親コメント
      • Re: (スコア:0, すばらしい洞察)

        by Anonymous Coward

        ACで使えばなんの問題もないですよ。

        アカウント持ちはしらんけど。

        • by Anonymous Coward on 2014年04月14日 17時23分 (#2581877)

          アカウントなんてテキを作るためのものだしね :)

          なぜログインする必要があるのですか? [srad.jp]
          スラッシュドットには、ログインしないと得られないさまざまなメリットがあるからです。たとえば次のようなメリットがあります。

          ・アクセス時のユーザ設定を保存しておくことができます。
          ・心の奥底の気持ちを分かち合うためのあなた専用の日記を利用できます。
          議論を読むときに役立つトモダチとテキを定義できます。
          ・スラッシュドットのモデレーションおよびメタモデレーションシステムに参加する機会が与えられます。
          ・議論への投稿がスコア0ではなくスコア1で行われるので、コメントを倍の人数に見てもらえます。

          # ふつートモダチなんていないorz

          親コメント
          • by Anonymous Coward

            AC叩いてたIDの方たち気絶中

            • by Anonymous Coward

              いやそんなことなくて、もともとSSLに対応してないので
              今回のバグの影響はありません。

              # これがノーガード戦法ってやつです

          • by Anonymous Coward
            ログインしないとデフォルト50件しか表示されないのが地味に面倒。
  • by Anonymous Coward on 2014年04月14日 16時14分 (#2581827)

    ディストリのBugzilla IDやメンテナ専用のアカウントに対して、アカウントリセットしたからとっとと再設定してくれってメールがここ最近引っ切り無しに飛んでくる。
    今現在使ってるディストリビューションに関しては別に良いんだけど、昔使っててBugzilla経由でバグレポしただけとか、昔はパッケージのメンテナやってたけどもう使ってないからメンテナ共々アカウント破棄したのとか、そんなのまで飛んでくるからどれがどれやらわけがわからない。
    だいたいからして、アカウント自体削除したものに関しては、どうして未だにそんなメールが来るのかもわからない。
    まあ所詮はボランティアだから、アカウントの管理なんて決行いい加減な運用していたんだろうな…。
    ○○日以内に再設定せず、放っておけば削除されるみたいな案内が大半なので、利用してるもの以外は再設定せず放置で済ますつもり。

    しかしどこも以外とOpenSSLとかは最新版使うものなんだな。
    しかも皆、律儀にenable-heartbeatsして握ってたんだ…。
    今回のは常に最新版を使う運用が裏目に出た形やね。
    これを契機にGnuTLSやNetwork Security Servicesへの移行が増えるかもわからんね。

    • by Anonymous Coward
      > しかも皆、律儀にenable-heartbeatsして握ってたんだ…。

      これだけどこもかしこもパスワード変えろって言っているあたり(Googleは転ばぬ先の杖だから変えとけ程度だが)、デフォルトがそっちだったとかじゃないかとも思えますがどうなんでしょうね。
      • by Anonymous Coward on 2014年04月14日 16時44分 (#2581848)

        Theo 師匠大激怒 http://it.srad.jp/comments.pl?sid=628761&cid=2581261 [srad.jp] からのリンクによれば、
        http://cpplover.blogspot.jp/2014/04/theo-de-raadtietf.html [blogspot.jp]
        デフォルトがONだったようですね。
        そしてOFFにしても誰も困らない。

        親コメント
        • by Anonymous Coward

          Theo師匠怒りのあまりOpenTLS(?)を立ち上げ、あれよあれよという間にデファクトスタンダードに…はないかな。OpenSSHがOpenSSLと縁切りしてGnuTLSやYaSSLに乗り換え…はあるかな?師匠の性格からして、このままOpenSSHがOpenSSLに依存しているのは我慢ならないんじゃない?

          • GnuTLSもYaSSLもライセンス的にないんじゃないかな。
            ならOpenTLSかって話だけど、仕様を取捨選択した実装を作ろうとするかどうか。これはないんじゃないかって気がする。OpenNTPDが近い考え方かも知れないけど、仕様を取捨選択しているわけではなく、実装の自由の中でセキュリティを取っているだけだと理解しています。
            今回の件に対する見解は、間接的とは言え仕様策定が腐ってるからだってとこ。その腐った土台の上に何を建ててもダメだってことじゃないかしらん。

            親コメント
          • 名前は(まだ?)ないけど、fork して大掃除しています。
            CVS [openbsd.org]を見ると、
            他プラットフォームに関するものや古いハードウェアに関わる部分を消したり
            インデントを統一したりして読みやすくしています (この時点で fork 確定) し、
            #ifndef OPENSSL_NO_HEARTBEATS 全消しは当たり前、
            「とりあえず現在時刻でエントロピー溜めとこう」みたいな頭の悪いコードを消したりと
            ボッコボコにしていますね。

            親コメント
    • by Anonymous Coward

      Linuxなサイトが全滅と言うわけではないけど、Linuxなサイトはあまり更新しないところが多い。
      そのため最近構築したところがアウトというパターンが多い。

      古いまま放置されていたLinux利用のサイトは無事。

      今回の心臓破裂バグを持つLinuxなサイトが、今後長期に渡って放置されるんじゃないかというのが一番の心配。
      BHEKが長い間、広範囲で蔓延っていたのと同じか、あるいはもっと最悪な状況を生むんじゃないかと言うリスク。

      皮肉なことに、今回の問題の大きさと影響範囲、それと運用者の性質(過信して、あまりアップデートしない)から、もはやLinuxはWindowsよりもセキュリティリスクが高いOSとなってしまった。
      今回の攻撃は、サーバ側で自覚症状が無いのでとても怖いぞ。

      • by Anonymous Coward on 2014年04月14日 17時02分 (#2581862)

        この件だけでなく、SSL Server Testを見ると、日本のサイトのSSLはボロボロですねぇ。
        https://www.ssllabs.com/ssltest/ [ssllabs.com]

        何とかならんものか…。

        親コメント
        • by Anonymous Coward

          いくつか自分の使っている金融機関を入力してみましたが、脆弱な過去のプロトコル(SSL 2)をサポートしているために評価Fとか、そんなのばっかですね。
          heartbleed以前の問題だった。

          • by Anonymous Coward

            評価Fとかまだいいわ。現時点でも Heartbleed attack可能な状態の金融機関多すぎ。入力したサイトの半分はいけるとかいくらなんでもひどい。

        • by Anonymous Coward

          とりあえず銀行でぐぐって上から順にやってったが悪いところでもBでそんなに対した事は・・・
          って思いかけたら1ページめの下辺りからアウトー連発し始めた
          そういうことね

    • by Anonymous Coward

      最初の1.0.1がでたの2011年?
      RHELやDebianでも去年末リリース版で1.0.1eになってます。
      最新版とはいえ、時間的に見れば十分枯れかけてると思われても仕方ないんじゃないですかね。

    • by Anonymous Coward

      Windows/プロプライエタリ大勝利ですな。

      • by Tsann (15931) on 2014年04月15日 10時21分 (#2582304)

        goto fail;

        親コメント
      • by Anonymous Coward

        こういうのでプロプライエタリだからセキュアという認識が広まるのはどうかと思う。

        • by Anonymous Coward
          プロプラだからセキュアっていう脊髄反射は広まってほしくないけど、

          Linuxだからなんもしなくて安全という過剰な神話は間違いというのは広まってほしい。
          (アップデートはしてほしい。)
      • by Anonymous Coward

        影響を受けてくれればXP乗り換えの圧力になったのに…。

      • by Anonymous Coward

        プロプライエタリ勝利とかそういうわけではなくて、多様性が重要なことが示された気がする。

  • by Anonymous Coward on 2014年04月14日 17時07分 (#2581866)

    今すぐユーザーがパスワードを変えるのはかえって危険という説があります。
    変えるならサイトが「対策したよ」とアナウンスしてからにしろと。

    • 危険な理由を書いてください。

      今すぐ変えて、更に対策直後にも変えた場合と比べて、どうだろう。

      親コメント
      • by Anonymous Coward on 2014年04月14日 18時17分 (#2581913)

        元コメとは別ですが、SSLが筒抜けの状態でパスワードを変えても、かえってパスワードを教えるようなものだということでは。
        「未対応のサイトにはアクセスするな」の特殊化でしょう。

        >今すぐ変えて、更に対策直後にも変えた場合と比べて、どうだろう。

        上記の理由で、そうすることは危険だと思います。

        親コメント
        • ありがとう、色々と勘違いしていた。
          /(^o^)\

          「未対応のサイトにはアクセスするな」

          これが最善と対応だと思う。

          親コメント
        • by Anonymous Coward

          で、星の数ほどもあるサイトの中で
          ・未対応のサイト(脆弱性あり)
          ・脆弱性があったが対応済みのサイト
          ・影響がなかったサイト
          をどうやって知ればいいのでしょうか?

          • by Anonymous Coward

            サーバーが対応済みか、ホスト名からチェックできるサイトがいくつかある。
            自分がよくアクセスするサイトはチェックするよろし。

            https://filippo.io/Heartbleed/ [filippo.io] とかね。

            スラドをチェックしたら、そもそも443ポートふさがってた\(^o^)/

            • by Anonymous Coward

              そのサイトでapp.cocolog-nifty.comとかslashdot.jpとかやってみたんですが、うちの環境では全然画面がかわりません。
              あとそれは正常に動いたとしても現在穴があいているかどうかがわかるだけだと思うんですが、
              ・現在穴があいている→しばらく使うな
              はいいとして
              ・穴があいていない
              →最初からあいていなかった(パスワード変更不要)
              →あいていたが塞いだ(要パスワード変更)
              のどちらであるのかが本当に知りたいことなんですが。

              • by Anonymous Coward

                漏洩したかどうかは誰にもわからない。
                だから、わかるのは、今パスワードを変更してもいいかだけ。
                でパッチあたってたら変更してもOK。未パッチなら今変えてもそれも漏洩するかも。

                変更が必要かどうかより、今変更してもいいか、だけ。必要かどうかは誰にもわからない。
                だから、変更するにしても、ただ念のためということ。

                自分は変更しない予定。めんどい。

              • by Anonymous Coward on 2014年04月15日 4時22分 (#2582187)
                秘密鍵が盗まれた状態でOpenSSLを更新した場合、
                そのチェッカーは「ふさがった」と見なすけど通信内容はダダ漏れかもしれない、
                つまり、変えても駄目な可能性もあると思う。
                ふさがっている上で証明書を確認して有効期限の開始がごく最近(脆弱性発見以降)になっていれば大丈夫かしら。
                親コメント
      • by Anonymous Coward

        玄関の鍵を植木鉢の下に置いておいたら泥棒に入られたのに、
        せっかく交換した玄関の鍵をまた植木鉢の下に置いておく、みたいな?
        # ちゃんと隠せるようにならないと

  • by Anonymous Coward on 2014年04月14日 18時08分 (#2581907)

    OpenIDが広まって楽にアカウント管理が出来る時代は、この先来るのだろうか?

    • by Anonymous Coward on 2014年04月14日 19時02分 (#2581946)

      楽かもしれないが、IDをひとつに集約することで生じるリスクはやばいよ。
      OpenIDが盗まれたら全部盗まれるんだから。
      なので、自分はfacebookログインやtwitterログインがあっても、絶対メールアドレスから新規登録を選ぶ。
      当然、パスワード使い回しもなしで。

      親コメント
    • by Anonymous Coward

      まあ無理でしょうな。対応は縮小する一方 [tdiary.net]だし。
      Browser ID (Mozilla Persona)もコミュニティ移管という名の死亡宣告が出されたし。
      Facebook ConnectとTwitter OAuthには勝てなかったよ…。

      • by Anonymous Coward

        というか、そこらも含めて整理してOpenID connect(接続プロセスはOAuth、データがOpenIDみたいなカンジ)になってってる気がするんだが。

        # Googleとか二要素認証やってるところに集約するほうが、多数管理よりはマシかなぁ?

  • by Anonymous Coward on 2014年04月14日 19時21分 (#2581955)

    Mashableの記事ではFacebookやInstagram、Pinterest、Tumblr、Google、Yahoo!(米国)などのサービスについて、ユーザーはパスワードを変更した方が良いとすすめている。ただ、Googleは「ユーザーがパスワードを変更する必要は無い」と述べている(Reutersの記事)。

    Googleは結局、変えた方がいいのか、そうでもないのか、どっちだ?
    変えときゃ間違いはないんだろうけど。

  • by Anonymous Coward on 2014年04月15日 9時41分 (#2582276)

    SSLを使わなかった。

  • by Anonymous Coward on 2014年04月15日 14時23分 (#2582431)

    ■ OpenSSLの脆弱性で想定されるリスク
    http://d.hatena.ne.jp/nekoruri/20140410/heartbleedrisk [hatena.ne.jp]
    オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた
    http://d.hatena.ne.jp/Kango/20140414/1397498442 [hatena.ne.jp]
    脆弱性「Heartbleed」、モバイルアプリにも影響
    http://blog.trendmicro.co.jp/archives/8945 [trendmicro.co.jp]
    OpenSSLの脆弱性で初の被害、カナダや英国で発覚
    http://www.itmedia.co.jp/enterprise/articles/1404/15/news035.html [itmedia.co.jp]

  • by Anonymous Coward on 2014年04月16日 17時17分 (#2583317)
    2017/3E まで、セキュリティアップデートが提供されるRHEL5を使っているサーバーの
    割合はどの位あるのかな?
    企業のサーバー用途として、常に最新版に移行するユーザーの割合を知りたい。
    • by Anonymous Coward

      EL5のパッチが流れてくるCentOS5系なら
      かなりの率じゃないかと

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...