進撃のコンピューターウィルス！

進撃のコンピューターウィルス！

本日（4/23）の日本経済新聞に「ハートブリード」に関連する記事が掲載された。OpenSSLの脆弱性をついた攻撃として最近ホットなキーワードになっている。最近は、大手銀行に留まらず、ショッピングサイトや個人情報の入力を求めるサイトであれば何かしらのデータ通信を暗号化するソフトを導入するのは必須であるが、OpenSSLはオープンソースのため、かなり広まっている！
　下記の画像は、トレンドマイクロより公表されたハートブリードの影響を受けるアプリのタイプ別分布図である。これを見るだけでも脆弱性を抱えるサーバーに接続するアプリの数はかなり多いことが分かる。

Heartbleed の影響を受けるアプリのタイプ別の分布図
出典：http://blog.trendmicro.co.jp/wp-content/uploads/2014/04/140416comment04.jpg

「ハートブリッド」の対策として、トレンドマイクロが推奨している対策は下記の通り！

１．情報の送信先となるWebサイトのOpenSSLの状態を確認すること

トレンドマイクロに掲載されている情報を見ると、「サイト運営者から提供・公表される情報を確認し、安全だと判断できたサイトだけに個人情報を入力するようにする」とのこと・・・。でも、これだと公表された情報を信じるかどうかは利用者側の判断に委ねられることになる。知りたいのは、そのサイトで利用されている通信暗号化ソフトの種類とバージョンを利用者側が知る術である。
ちなみに、自分のパソコンにインストールされているOpenSSLのバージョンを知りたい場合は、下記のコマンドを実行すると分かる。
＜Mac＞
　ターミナル起動：Launchpad->その他->ターミナルを選択
　　コマンド入力：openssl version

＜Windows＞
　コマンドプロンプト起動：アクセサリー->コマンドプロンプト
　　コマンド入力：openssl version

２．自分が普段から使用しているブラウザが「サーバ証明書の失効検証を行う設定」になっているかを確認する

トレンドマイクロに記載されている確認方法は下記の通り！

Internet Explorer：
　ツール＞インターネットオプション＞詳細設定＞セキュリティ＞
　　「サーバーの証明書失効を確認する」にチェックが入っていること

Chrome：
　設定＞詳細設定を表示…＞HTTPS／SSL＞
　　「サーバー証明書の取り消しを確認する」にチェックが入っていること
　　　※デフォルトではチェックなしになっていますので、チェックを入れてください。

やはり、最後の最後は自衛するしか方法はなさそうだ。知らないじゃ済まされない現実が目の前に広がっている。これからは守るためにハッカーやウィルス開発に関する知識を身につけ、ＩＴリテラシーを常に高い水準を保っていく必要がある！

【参考】
http://blog.trendmicro.co.jp/archives/8961
http://blog.trendmicro.co.jp/archives/8964