Heartbleed%E3%81%AF%E3%81%BE%E3%81%A0%E7%94%9F%E3%81%8D%E3%81%A6%E3%81%84%E3%82%8B%E3%80%81%E5%A4%9A%E3%81%8F%E3%81%AE%E9%9B%B6%E7%B4%B0%E3%82%B5%E3%82%A4%E3%83%88%E3%81%8C%E7%84%A1%E6%89%8B%E5%BD%93%E3%81%AE%E3%81%BE%E3%81%BE

Heartbleedはまだ生きている、多くの零細サイトが無手当のまま

bleed

セキュリティの研究者たちがHeartbleedバグにおびえたのも、当然だ。特効薬がないからだ。一部の人たちが躍起になって、多くのシステムにパッチを当てても、インターネット全体の中では、無対応の部分が圧倒的に多いだろう。

そしてやっぱり、Heartbleedは健在だった。

(Heartbleedを知らなかった人は、ここで勉強してください。)

まず、良いニュースから: Heartbleedが発見された当初、セキュリティ企業Errataは60万あまりの罹患サーバを見つけた。その一か月後には、メジャーなサイトとホストの多くが大急ぎでパッチを当てたため、患者は31万8239、半分近くにまで減った。

悪いニュース: 針は止まったままだ。Heartbleedの発見から75日後にErrataのスキャンは、30万9197台の無手当サーバを見つけた。1か月前(31万8239)と、ほとんど変わっていない。

ほとんど横ばいだ。

つまり、攻撃のターゲットになりやすい上位1000ぐらいの人気サイトは健康体になったが、大量の小規模サイトはまだ病人だ。2か月後のパッチ適用率の低さを見るかぎり、最初に大騒ぎされたこのバグは、徐々に忘れられてしまったのだ。

では、ユーザは何をすべきか? いちばんよいのは、Heartbleed対策のパッチを当てたと宣言していない、古い、メンテナンスの悪いサイトには、近づかないことだ。さらに重要なのは、同じパスワードをあちこちで使いまわさず、サイトごとに違うパスワードを使うこと。そうすれば、メンテナーのいない空き家のようなフォーラムにアクセスしてパスワードを盗まれても、ほかのアカウントは無事だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

広告

blog comments powered by Disqus

コメント

れお@今日からイケメンになる
chromebookの場合、機能を使うことによって生徒の設定を一括操作できるので、かなり安心できると…
Ichiro Mizoguchi
実際にDroneでの配送が始まったら、どこかの星からUFOが来たとしても、みんな「また、Droneが…
【公式】SHAKE100 運営チーム
お越しいただきありがとうございました!SHAKE100運営チームです。Facebook(…
Hitoshi Anatomi
屋外利用時の他人受容率がほぼゼロになるような閾値で運用した時の本人拒否率が問題ですね。これもほぼゼロ…
Ichiro Mizoguchi
みんながALSのことをこれで認知するだろうから、今後は、『継続的な支援』につながる取り組みに変貌して…
フォロー

新しい投稿をメールで受信しましょう。

Join 118 other followers