OpenSSLのHeartBleed問題は非常に厄介

インターネットの安全性を担っているSSL(一般にブラウザの鍵マークで有名)、その通信を担当するプログラムの1つである「OpenSSL」に、深刻な大穴が空いていた、というニュースはご存じでしょうか?

チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 – @IT

最悪、上記記事の「秘密鍵やユーザーの情報など、サーバーのプロセス内の情報が全て読み取られてしまう可能性」、つまり簡単にいえば「通信の筒抜け状態」が起きてしまうということです。

幸い、OpenSSLの一部のバージョンだけのバグだったのですが、有名なプログラムですから利用しているサーバも多く、その影響範囲が非常に大きいということが問題になっています。

実際私のクライアントさんのサーバでも、いくつかはこのOpenSSL問題に絡むことがありました。

また、大手どころでは、さくらインターネットがこの件で下記のような注意喚起を出しています。

【重要】OpenSSL1.0.1に含まれる脆弱性について | さくらインターネット

一言でいえば、
「ウチでサーバ管理してるレンタルサーバ、マネージドサーバについては影響がない(ちゃんと管理してる)けど、さくらのVPS、クラウド、専用サーバ、ハウジングを契約してる人は自分で管理してね。」
ということですね。
(そのためユーザー側に管理者権限があるのですし。)

こう考えると、サーバ管理を自社でやることが本当に安全なのか、考え直さないといけないかもしれませんね。

スポンサーリンク
ITコンサルタント日記_本文_336x280
ITコンサルタント日記_本文_336x280

フォローする

こんな記事も読まれています