「OpenSSL」の脆弱性「Heartbleed」対策


一般のインターネット利用者向け対策
Heartbleed の脆弱性は、ユーザ名やパスワードなどの重要な情報を漏えいさせる恐れがあるため、一般のユーザは、ご利用のサイトが脆弱性の影響を受けないことを確認した上で、オンラインアカウントのパスワードを変更することを検討して下さい。また、特に金銭に関係するアカウントに関しては、不審な動きがないかを監視して下さい。

Webサイト運営者側の対策として、OpenSSL をアップグレードしたうえで、「SSL証明書の失効と新証明書との置換」も行うべきと広く訴えられています。この対策の効果を正しく得るために、今一度、普段からお使いのブラウザが SSL証明書の失効検証を行っているかどうか、設定を確かめてください。万が一Webサイト側からの秘密鍵の漏えいがあった場合に、その秘密鍵を入手した攻撃者は他の攻撃手法と組み合わせ、そのWebサイトになりすますことが可能になります。利用者側のブラウザで SSL証明書の失効検証を行うことで、Webサイト運営者側が証明書を失効していれば、上記のリスクから身を守ることができます。特に Chrome の現在のバージョンでは、デフォルトではこの機能が有効になっていないので注意が必要です。ブラウザごとに、以下の部分で確認ができます

1,Internet Explorer:ツール>インターネットオプション>詳細設定>セキュリティ>「サーバーの証明書失効を確認する」にチェックが入っていること

2,Chrome:設定>詳細設定を表示…>HTTPSSSL>「サーバー証明書の取り消しを確認する」にチェックが入っていること
※デフォルトではチェックなしになっていますので、チェックを入れてください。


引用元: 「OpenSSL」に深刻な脆弱性「Heartbleed」が発覚、拡張機能「Heartbeat」に存在 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog),
http://blog.trendmicro.co.jp/archives/8927


Firefox
OpenSSLの重大バグ「Heartbleed」の影響についてのまとめ