アマゾン、フェイスブック、グーグルなどのテック企業が「ハートブリード」バグの修正プログラムを展開

トッド・ビショップ著2014年4月9日午前11時15分2014年4月9日午前11時15分

アマゾン ウェブ サービスは、ハッカーがこの欠陥を利用してアカウント情報やパスワードにアクセスできるとの報告で今週インターネットを騒がせている「ハートブリード」脆弱性に対処するため、複数のオンライン サービスに修正プログラムを導入した。

同社は、ウェブ上の大量のデータを保護するために使用される OpenSSL 暗号化ライブラリで今週初めに公開された脆弱性を修正するためのアップデートの展開に奔走している多くのテクノロジー企業のうちの 1 社です。

Google、Facebook、Yahoo!といった企業も、すでに修正プログラムを公開したと発表している。Microsoftは、この問題を監視しており、必要に応じて独自の修正プログラムを展開するとしている。

セキュリティソフトウェア企業のシマンテックは今朝のメッセージで、インターネットユーザーと企業向けに次のようなガイダンスを伝えた。

企業向け:

• OpenSSL 1.0.1 から 1.0.1f を使用している場合は、ソフトウェアの最新の修正バージョン (1.0.1g) に更新するか、ハートビート拡張機能なしで openSSL を再コンパイルする必要があります。
•  企業は、openSSL の修正バージョンに移行した後、Web サーバー上の証明書も置き換える必要があります。
• 最後に、ベストプラクティスとして、企業は侵害されたサーバーのメモリ内で閲覧可能な可能性があるエンドユーザーのパスワードをリセットすることも検討する必要があります。

消費者向け:

• 脆弱なサービスプロバイダーを使用した場合、第三者にデータが見られる可能性があることに注意する必要があります。
• 利用しているベンダーからの通知を監視してください。脆弱なベンダーが顧客にパスワードの変更を促した場合は、ユーザーはパスワードを変更する必要があります。
• パスワードの更新を求める攻撃者からの潜在的なフィッシングメールを避ける – なりすましのウェブサイトにアクセスしないように、公式サイトのドメインを使用する

画像はCodenomiconより。