[調査・レポート]

IPA、OpenSSL/Heartbleed脆弱性問題で、一般ユーザー側での対処をまとめたページを公開

2014年4月18日(金)IT Leaders編集部

独立行政法人 情報処理推進機構(IPA)は2014年4月16日、OpenSSLの「heartbeat」拡張において情報漏洩の脆弱性が発見された問題(通称:Heartbleed脆弱性)について、インターネットの一般ユーザー(OpenSSLが実装されたWebサイト/サービスの利用者)側での対処のしかたについてまとめたWebページを公開した。

 公開されたWebページは「OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について」。IPAは、SSL暗号化方式がECサイトやオンライン金融取引など、世界中の広範なサイト/サービスで用いられている点を説明。そのうえで、今回発見されたOpenSSLのHeartbleed脆弱性を悪用したサイバー攻撃が具体的にどのような被害をネットユーザーにもたらすのかについて図解で解説している。

Heartbleed脆弱性および脆弱性から想定可能な影響のイメージ
Heartbleed脆弱性および脆弱性から想定可能な影響のイメージ(出典:IPA「OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について」)

 

 IPAが挙げる、インターネットユーザー側での対処方法は、(1)Webサイトの対応状況を確認する、(2)Webブラウザの設定で、証明書の失効確認を有効にする、(3)パスワードの変更など、Webサイト運営者からの指示に従う、の3ステップとなっている(各ステップの詳細な説明はIPAのWebページを参照されたい)。

特に注意すべきは、利用しているWebサイト/サービスのパスワードの変更についてである。IPAは、Webサイトに脆弱性が残ったままパスワードを変更しても、変更後のパスワードを盗まれる可能性が残ることを指摘し、Webサイト側で脆弱性対策が完了したことを、Webサイト運営者からの「お知らせ」「告知」などで確認した後に行うように呼びかけている。

IPAは、Heartbleed脆弱性に関する今後の動向から追記・改訂すべき情報が発生した場合に、都度同ページを更新する予定だとしている。

 

関連キーワード

情報漏洩 / サイバー攻撃 / OpenSSL / IPA

関連記事

IPA、OpenSSL/Heartbleed脆弱性問題で、一般ユーザー側での対処をまとめたページを公開独立行政法人 情報処理推進機構(IPA)は2014年4月16日、OpenSSLの「heartbeat」拡張において情報漏洩の脆弱性が発見された問題(通称:Heartbleed脆弱性)について、インターネットの一般ユーザー(OpenSSLが実装されたWebサイト/サービスの利用者)側での対処のしかたについてまとめたWebページを公開した。

PAGE TOP