IPAはこのほど、情報漏洩のおそれがあるOpenSSLライブラリの脆弱性「Heartbleed」に対し、一般のWebサイト利用者がどのような対応をすべきかについて発表した。
脆弱性を抱えるOpenSSLが稼働しているWebサイトにおいては、Webサイトの秘密鍵、サイトのアクセスに必要なIDとパスワード、クレジットカード番号などが盗まれるおそれがある。
|
OpenSSLの脆弱性「Heartbleed」の内容とHeartbleedから想定される被害 |
こうした被害に対し、一般のWebサイト利用者は3つの対策を講じることができる。
1つ目は「Webサイトの対応状況を確認すること」だ。重要な取引をするWebサイトを使う際は、ログインする前に「Heartbleed」への対応状況を確認する必要がある。「お知らせ」などの形でアナウンスがある場合は、それを参照する。
IPAはメールによってアナウンスを受けた場合、そのメールのみを信用することを避けるよう注意喚起している。アナウンスのメールを受信した場合は、メール内のリンクではなく、Webサイトに同様のアナウンスがあることを確認するよう促している。
2つ目は「Webブラウザで証明書の失効確認を有効にすること」だ。サイト運営者が対策の一環として、サイトの証明書を失効することがあるが、それを利用者が知らずにいると、偽サイトにアクセスしても見分けられない可能性があるため、確認が必要である。証明書の失効確認は、ブラウザでいったん設定すれば、以後は自動的に行うことができる。
3つ目は「サイト運営者からの指示に従うこと」だ。利用者に指示される可能性がある対応の1つにパスワードの変更が挙げられているが、サイトに脆弱性が残っていたら変更後のパスワードも盗まれることもありうるため、Webサイト側の脆弱性への対応が完了したことを確認したうえで行うよう促している。
