Bitcoin%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AFOpenSSL%E3%81%AEHeartbleed%E3%83%90%E3%82%B0%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E4%BD%95%E3%82%92%E7%9F%A5%E3%82%8B%E3%81%B9%E3%81%8D%E3%81%8B

BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか

Bitcoinのウォレットやオンラインのウォレット、取引所などを使っている人にとってHeartbleedは、きわめて現実的で深刻な問題だ。しかし幸運にも、パニックは数日で収まり、比較的簡単な対策があることが分かってきた。

まず第一に、Bitcoinの転送に用いられているBitcoinのcoreプロトコルそのものは影響を受けない。

CryptocoinsNewsのVenzen Khaosanは、こう書いている:

“Bitcoin CoreのクライアントはOpenSSLの脆弱性対策として0.9.1にアップグレードされるが、coreのデベロッパたちは、BitcoinプロトコルそのものはHeartbleedバグの影響を受けない、と強調している”。

しかし取引所の多くは、念のために一部のサービスを停止している。昨日Bitstampは、同社のサーバへのHeartbleedの影響を調べる際、“認証と登録、ログイン、および仮想通貨のすべての引き出し機能”を遮断した。DDOS対抗サービスIncapsulaは、安全のために同社のサーバをアップデートした。Bitstampはその後、すべての機能をリスタートした。ハッカーがHeartbleedを悪用すると、サーバ上のメールアドレス、キー、ログイン情報などをすべて盗むことができる。

BitcurexBlockchain.infoなども、そのサービスにパッチをあててアップデートした、といわれている。

自分のマシンにウォレットのある人は、どうか。少々のアップデートが望ましい。 Bitcoin Coreのニューバージョン0.9.1が出たばかりだが、それはウォレットのセキュリティが改良されている。ユーザのOpenSSLはopenssl 1.0.1g以降のバージョンであること。それはBitcoin-Qt(Bitcoin Core)のHelp->Debugウィンドウで分かる。Multibitなど、アップデートしていないところは、元々影響のないサイトだが、暗号化とパスワードによってあなたのBitcoinを守ることは重要だ。

Screen Shot 2014-04-09 at 10.35.19 AM

まとめると、あなたのBitcoinに触れるものはすべてアップデートすること。対策状態を公表していない取引所は使わないこと。OpenSSLのこのバグが存在するようになってから今日までの2年間で、あなたのユーザネームやパスワードが絶対に無事だったという保証はないから、Bitcoinのデータも含めて、何もかも変えること。あなたのオンライン生活の細部をちょっと知っただけで、ウォレットに侵入できるハッカーも、きっといる。

Bitcoin FoundationのMike Hearnはこう書いている:

“影響は拡大しないと期待している。主要サイトはアップグレード後にSSLキーをローテートしなければならないだろう。ウォレットの秘密鍵は、このバグの影響が及ばない別のサーバプロセスに置かれているところが多い。ただし、一部の不注意なサイトで盗難事件が起きたとしても、それは意外ではない”。

.

被害は甚大ではなかったが、しかし完全に安心とも言えないのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

広告

blog comments powered by Disqus

コメント

フォロー

新しい投稿をメールで受信しましょう。

Join 134 other followers