被害額の見えないハートブリード
ハートブリード
Heartbreed
心臓出血
ブラウザ利用時のOpenSSLは安全なやり取りを保障する通信方式だったが、SSLサーバーの初期プロセスのハートビート処理(チャレンジレスポンス習性?)を利用したバッファ情報の抜き取りを行なうのがハートブリードの手口。個人情報や鍵情報まで抜き取られる。
ハートビート処理中にデータの送り込みをサーバーが受けると、サーバーは送り返すデータがないためにバッファー上のデータを送り返す欠陥がある。多くの企業は既に脆弱性対策を実施済みだと思われる。
問題は、果たして自分の企業あるいは顧客は被害を受けたかどうかがまるで分からないことだ。
悪意の人が十分時間を置いてから本に成りすましたりすれば、犯罪が行なわれても原因を特定しにくくなる。
今、簡単に出来る対策は、犯人がIDパスワードを使う前に、パスワードを別のもっと安全なものに変更してしまうことだ。
(1)全くニューのパスワードにすること。(過去のパスワードは使わない)
(2)サイト毎に返ること。 (同じパスワードを使わない)
(3)覚えのないID利用がないか、メール通知、SNS記事、ポイント残高、クレカ利用などをチェックする。
※