Emsisoft(エムシソフト)お知らせ:Heartbleed 以後… 自分でできる対処と対策

株式会社LODESTAR JAPAN

2014-04-21 00:00

Heartbleed が落ち着きつつある中、多くのインターネットユーザーは、自分の個人情報を保護するために何をすべきか疑問に思っていることでしょう。基本的に、インターネットを使用するすべてのユーザーが Heartbleed の影響を受けているため、それぞれ何か言いたいことがあると思いますが、混在する多くの情報が多くのユーザーを混乱させてしまっています。この問題を解決するために、Heartbleed を止血するべき対処と対策について、いくつかご紹介したいと思います。
Heartbleed の対処と対策

【自分のパスワードをどうすればいいのか? 】
Heartbleed の脆弱性は、攻撃者がサーバーのメモリからパスワードを盗み出すことができます。この問題を解決するには、まず、Web サイトが Heartbleed に対して脆弱であるかどうかを判断する必要があります。 (リンク ») にて、Web サイトの脆弱性を確認することができます。対象となる Web サイトが Heartbleed に対して脆弱でない場合は、パスワードを変更する必要があります。Web サイトがまだ Heartbleed に対して脆弱である場合は、パスワードを変更しないでください。まだ脆弱であるサイトでパスワードを変更しても、問題は解決しません。その代わり、Heartbleed に対して脆弱であるサイトのアカウントを持っている場合は、問題が修正されるまでは、そのアカウントでのログオンを避ける必要があります。

【二要素認証(TFA)を有効にする】
二要素認証は、2つの認証方式を併用して精度を高めた認証方式です。離れた場所からあなたのアカウントにログオンしようとする誰もが、パスワードと登録されたモバイルデバイスに送信された固有のコードを入力する必要があります。Heartbleed は 過去二年間、無知の状態で野放しされていた可能性がありますが、良いニュースは、TFA が有効になっていたアカウントは、パスワード漏洩が発生していたとしても、Heartbleed に対して免疫があったであろうということです。TFA は、将来の脅威を軽減することができる、予防的な対策です。

【電子メール詐欺に注意する】
サイバー犯罪者は、Heartbleed の大混乱を利用して、オンラインセキュリティについて懸念しているユーザーを標的とした詐欺を企んでいます。実際に、SANS のセキュリティ研究者が詐欺容疑で逮捕されています。近日中に、さらに多くの詐欺メールが、実際のサービスプロバイダから提供される正式なメールと一緒に出回る可能性が高くなります。フィッシング詐欺の被害を防ぐためには、パスワード変更に関する要求を注意して処理することが極めて重要です。電子メールにログインリンクが含まれている場合は、それをクリックしないでください。その代わりに、自分でサービスプロバイダの Web サイトにアクセスし、実際のログインページからログインするようにしてください。

【秘密キーは効果がないのか?】
攻撃者は、Heartbleed の脆弱性を利用して、サーバーから 64 KB までのメモリーを盗むことができます。つまり、攻撃時にある全てのメモリ(サーバーの暗号秘密キー、Web サービスが暗号化されたデータにアクセスすることを許可する項目など)を攻撃者が盗み出すことができることを意味します。Heartbleed で最も憂慮すべき問題は、過去二年間、無知の状態で野放しされていたことであり、Heartbleed の脆弱性が利用されていたかどうかユーザーは知りません。もし利用されていた場合は、攻撃者は秘密キーを盗み、暗号化されたデータにアクセスしていた可能性があります。残念ながら、Heartbleed を 100% 対処する唯一の方法は、過去二年間、OpenSSL の脆弱なバージョンに依存していたすべてのサービスプロバイダーが新しい秘密キーを取得することです。世界中の 60% のインターネットが Heartbleed の影響を受けていたと考えると、完全に問題が解決するまでしばらく時間が掛かるでしょう。

Heartbleed はまだ解決していない?

ミシガン大学の研究者は、2014年4月9日16:00 の時点で、 (リンク ») の 3.7 % が未だに Heartbleed に対して脆弱であったことを報告しています。世界中の優秀なシステム管理者によって、この深刻な問題がこれだけ迅速に対処されたことは、あらゆることを考慮して素晴らしいことです。

Heartbleed から学んだこと

Heartbleed が及ぼした世界規模の被害により、我々のインターネットの仕組みは完璧にはほど遠いということが全世界で実証されました。そして、最も驚くべき点は、このユビキタスバグはマルウェアとは全く何の関係もなかったということです。 Heartbleed は、サイバー犯罪者がマルウェアを必要とせずに、堂々とに侵入し、何の痕跡をも残さずに目的の物を盗み出すことが可能です。Heartbleed は、最高のロックでさえも破壊されるということを証明しました。さらに、誰もが手軽に利用している基本的なセキュリティシステムだけでは、インターネット脅威からの完全な保護は不可能である事が分かりました。Heartbleed は、IT に関わる専門家たちに、インターネットセキュリティの見直しを余儀なくさせたと同時に、「インターネットを最低限で利用することが最も効果的なインターネットセキュリティである」ということを私たちに教えてくれました。共有してもいい物だけをオンラインで共有するように心掛けましょう。

Emsisoft Anti-Malware は、常駐型セキュリティソフトとして、他製品との併用が可能です。
今お使いのセキュリティソフトの検出漏れをキャッチできます。
今すぐ Emsisoft Anti-Malware 30 日間無料体験版をダウンロード!
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]