--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2014.04.14 12:05|カテゴリ:Security

入れちゃダメ! 秘密鍵が安全かどうかチェックするジョークサイト


 本ブログでも2回ほどエントリを書いていますが、ここ数日に渡りインターネット界隈ではOpenSSLのHeartBleed脆弱性が大きな話題となっています。
 
OpenSSLの脆弱性「Heartbleed Bug」をチェックするサイト : I believe in technology
また、中には管理者と連絡がつかないなどで、サーバが「The Heartbleed Bug」の影響をうけるのかどうかわからないというケースもあるでしょう。そのような場合には、以下のサイトでチェックするといいでしょう。


 
利用者として私が実践してるHeartBleed脆弱性対策をご紹介 リストとChromeBleed & SSL Server Testでチェック! : I believe in technology
そこで今回は、この脆弱性が一般的なインターネット利用者に与える影響について解説し、その後、私が実践している利用者としての対策をご紹介したいと思います。

 
 最悪の場合、サーバの秘密鍵が盗まれる可能性があります。また、脆弱性が2年間に渡り放置されていたことから「すでに」盗まれてしまっている可能性もあります。


 そのため、自分が管理するサーバの秘密鍵が盗まれていないかどうか、気がかりな管理者の方もいらっしゃるかもしれません。
 
 そんな時に、以下のようなサーバの秘密鍵が安全かどうかチェックするサイトを見つけてしまったら、藁にもすがる思いで自分の秘密鍵を入れてしまうかもしれません。


is-my-private-key-secure01.jpg


 でも……。

 もちろん入れちゃダメです

 このサイトはおそらくジョークサイト。秘密鍵をコピペして「Check」ボタンをクリックすると以下のようなメッセージが表示されます。

is-my-private-key-secure03.jpg
 
 
「Why on earth would you post it here? Now it's surely not.」
  
 訳すと「あなた、それを送信したの?まさかね?」という感じでしょうか?

 ただ、ジョークサイトとはいえ、本物の秘密鍵のデータを送信してはいけません。ジョークに見せかけてデータを保存している可能性もあるからです。

 まあ、適切な管理か行われている組織で、ちゃんとしたサーバ管理者がいらっしゃれば、そのようなことはないとは思いますが。
 
 最近は、何かセキュリティ関連の問題があると、その問題に便乗した攻撃が行われることがあります。
 
 たとえば、オンラインバンクで不正アクセス事件が発生したなんてニュースが報道されると、「あなたのパスワードが漏れている可能性があります。至急、こちらからパスワードを変更してください。」なんて具合に偽サイトにアクセスするリンクをクリックさせるようなメールが送られてきたりします。
 今回発覚したOpenSSLのHeartBleed脆弱性は非常に危険な脆弱性です。そのため、今後、大きな問題につながる可能性があります。
 
 しかし、そういった場合でも、冷静に対処する必要があります。デマや悪質な攻撃に引っかからないよう、日ごろから情報収集を心がけ、事態を把握し、自分の考えで行動できるようにしましょう。
 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。