1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPAが「OpenSSL」の脆弱性について一般ユーザーの対応を公開

IPAが「OpenSSL」の脆弱性について一般ユーザーの対応を公開

IPAが「OpenSSL」の脆弱性について一般ユーザーの対応を公開OpenSSL」に見つかった脆弱性(CVE-2014-0160:「Heartbleed」とも呼ばれる)について、独立行政法人 情報処理推進機構(IPA)は、4月16日、一般ユーザー向けの対応策を取りまとめ、公開した。

OpenSSLは、インターネット上での標準的な暗号化通信の仕組みであるSSLやTLSに対応したライブラリー(プログラム部品)のこと。オープンソースの形態で公開されており、自分の開発したソフトウェアにSSL/TLSによる暗号化機能を組み込む手段として幅広く利用されている。

脆弱性は1.0.1系と呼ばれる「バージョン1.0.1から1.0.1f」、および1.0.2系と呼ばれる「バージョン1.0.2-betaから1.0.2-beta1」に発見されている。オンラインショッピングや金融取引などのシステムがこれらのバージョンを用いている場合、暗号化され、秘匿されるはずの重要な情報が漏えいする可能性がある。

IPAは、一般ユーザーがとるべき対応について、次の3点を挙げ、注意を呼びかけている。

(1)Webサイトの対応状況を確認する
ECサイトや金融機関など、重要な取引をするサイトを利用する際は、ログインする前に、当該サイトのOpenSSLの脆弱性への対応状況を「お知らせ」などで確認する。ただし、メールで連絡を受けた場合は、メールだけでは本物の連絡かどうかが判別できないため、メール内のリンクではなく、ブックマークなどからWebサイトにアクセスして確認する。

(2)証明書の失効確認を有効にする(Webブラウザーの確認)
サイト運営者は、対策の一環としてWebサイトの証明書を失効することがある。ユーザーがこの事実を知らないままでいると、偽サイトにアクセスしても見分けられない可能性がある。ブラウザーの設定画面を開き、「サーバー証明書の失効を確認する」にチェックが入っていることを確認する。

(3)Webサイト運営者からの指示に従う
サイト運営者からユーザーに対し、「パスワードの変更」を指示される可能性がある。パスワード変更は、Webサイト側の脆弱性対応が完了したことを確認してから行う必要がある。Webサイト側に脆弱性が残ったままパスワードを変更しても、変更後のパスワードを盗まれる可能性が残るので、注意する必要がある。

OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について(IPA)
「OpenSSL」脆弱性について、一般ユーザーがとるべき対応について(IPA)(セキュリティ通信:So-netブログ)
OpenSSLに情報漏えいの脆弱性(CVE-2014-0160)が確認される(セキュリティニュース)

関連キーワード:

OpenSSL

サーバー証明書

パスワード

対策

脆弱性

  • 「お名前.com」を騙るフィッシングに注意喚起
  • カテゴリートップへ
  • モバイルマルウェアを用い2要素認証のコードを盗む手口に注意