̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ IT ニュース&コラム 2014/ 5/26 通巻662号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ Google と OpenSSL にパスワードなどが盗み取られる脆弱性 2014年 5月 21日、シマンテックは Google ドライブに偽の Google のサインイン (ログイン)のページを表示させてパスワードを盗み取るフィッシング詐欺の 手口をブログで報告した。 また、2014年 4月 7日、OpenSSL の公式サイトは、SSL というインターネット で最もよく使われている暗号化通信の実装の1つである OpenSSL に脆弱性 があり、入力したクレジットカードなどの情報が盗み見られることがある Heartbleed バグとその対策法を公表した。 本人確認のためにサインインするときにパスワードを入力することがよくあるが、 パスワードを入力するページが偽物だったらパスワードがその偽物を作った 人に送られてしまう。 これがフィッシング詐欺である。 もし銀行のパスワード だったら勝手に振込みをされて財産を失ってしまう。 Google のパスワードだっ たら、Docs に入れた業務上の秘密情報が盗まれたりそれをネタに脅されたりする 危険がある。 昔は、https から始まる URL(アドレス)をチェックすれば防げたのだが、 クラウドサービスになってからは、例えば googledrive.com/ までは他の人も 自分も同じアドレスなので .com まででは区別ができなくなった。 そこで 安心して誤ってパスワードを入力してしまったら、裏でパスワードを送信しつつ、 開こうとしたページが表示されるので、盗まれたことも気づかない。 この手口を防ぐ方法は、Yahoo! で採用されているログインシールだ。 自分で選んだある画像をログインシールに設定しておくとログインするときに 表示されるだけのものだが、偽のサイトにはそのシールを表示することは できない(盗まれるまで)ので、シールが表示されれば安心して入力できる というわけだ。 今のところ、Google はこのような対策を行っていない。 パスワードを入力するときは、SSL という暗号化通信が使われる。 暗号化しな ければ、経路の途中にあるサーバーによって情報が盗まれることがある。 アドレスに鍵のアイコンが表示されていたり、https から始まるアドレスでは、 SSL が使われているので、それが確認できれば安全だ。 しかし、OpenSSL の Heartbleed バグは、SSL の死活を監視する機能に脆弱性があり、一時的に メモリーに置いた暗号キーが削除されず覗くことができ、そのキーを使って 暗号化された通信が覗かれてしまうというものだ。 更にそのキーを使って 偽のサーバーを本物のサーバーであると証明してしまうこともできる。 しかもこの問題が2年も発見されず放置されていた。 OpenSSL は、Linux サーバーでよく使われている Apache と nginx の内部で 使われている。 マイクロソフト、オラクル、IBM のサーバーでは問題がない。 OpenSSL を使っているサーバーは、サーバ証明書の再発行と既存証明書の失効 が必要になる。 Google と OpenSSL の問題があるサイトは使ってはいけない。 つい先日、 日本でのみ騒がれた IE の脆弱性の風評被害で取られた対処法と同じように、 問題があるものを使わないことだ。 Heartbleed に対処したことを公表して いるサイトであればパスワードを入力していいだろう。 (対処したことを 確認できた)銀行のパスワードは別々のパスワードにしてリスクを分散 すべきだ。 オンラインでは使えない口座を作ってもよいだろう。 ソース http://internet.watch.impress.co.jp/docs/news/20140522_649810.html http://www.symantec.com/connect/ja/blogs/google-docs-users-targeted-sophisticated-phishing-scam https://www.cybertrust.ne.jp/ssl/sureserver/heartbleed.html http://japan.zdnet.com/security/sp_13securityissues/35047296/ http://news.mynavi.jp/news/2014/05/09/452/ http://itpro.nikkeibp.co.jp/article/COLUMN/20071210/289140/ 注目ニュース 一覧 ◇ グーグルに早くも削除要請。EU司法裁の 忘れられる権利 判決を受け。 http://japan.cnet.com/news/business/35047992/ … 時効を過ぎれば検索できないようにすべき。 または裁判所が削除を決定できるようにしないと。 ◇ なぜ、IEの脆弱性問題は過剰報道になったのか。必要以上に危険性を煽った日本のメディアの問題点。 http://pc.watch.impress.co.jp/docs/column/gyokai/20140513_647964.html … マイクロソフトは他の重要な脆弱性に比べてそれほど重大にあたる対応をしていなかった。 ◇ Adobe Readerの古い脆弱性を狙うウイルス、日本で感染拡大。 http://internet.watch.impress.co.jp/docs/news/20140520_649361.html … IE の脆弱性を適切に対処できなかった人もいることから、強制的にでも最新にする手を打たないと。 ◇ 美味しんぼの鼻血描写は本当に風評被害を助長するのか?。 http://bizmakoto.jp/makoto/articles/1405/13/news028.html … 個人にとっては事実だが周りに風評被害。 どちらの言い分もよくわかる。 ◇ Microsoft、12型になった Surface Pro 3 を発表。価格は799ドルより。日本でも発売が決定。 http://pc.watch.impress.co.jp/docs/news/20140521_649422.html … 100g 軽くなったが、800g はまだ重い。 ◇ Visual Studio 2013 Update 2 リリース。iOSやAndroidアプリ開発ツールキットをサポート。 http://www.itmedia.co.jp/news/articles/1405/13/news041.html … Xamarin や Cordova をエンジンとするアプリの開発をサポート。 ◇ Windows Management Framework 5.0 プレビュー版が更新、PowerShellGet が追加。 http://www.forest.impress.co.jp/docs/news/20140515_648613.html … apt-get のように、PowerShell モジュールをダウンロード&インストール。 ◇ Google Glassの新責任者にファッション業界のベテランが就任。 http://www.itmedia.co.jp/news/articles/1405/19/news038.html … 覗いて見るという前提は、かなり高いハードル。 ◇ GPUとディスプレイを自動同期する機能がDisplayPortに実装。テアリングを解消し、消費電力も削減。 http://pc.watch.impress.co.jp/docs/news/20140513_648010.html … 描画の同期や静止画での省電力のためにリフレッシュレートを動的に変更。 ソフトウェアデザイン館 Sage Plaisir 21 ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm