Heartbleed%E3%81%AF%E3%81%BE%E3%81%A0%E7%94%9F%E3%81%8D%E3%81%A6%E3%81%84%E3%82%8B%E3%80%81%E5%A4%9A%E3%81%8F%E3%81%AE%E9%9B%B6%E7%B4%B0%E3%82%B5%E3%82%A4%E3%83%88%E3%81%8C%E7%84%A1%E6%89%8B%E5%BD%93%E3%81%AE%E3%81%BE%E3%81%BE

Heartbleedはまだ生きている、多くの零細サイトが無手当のまま

bleed

セキュリティの研究者たちがHeartbleedバグにおびえたのも、当然だ。特効薬がないからだ。一部の人たちが躍起になって、多くのシステムにパッチを当てても、インターネット全体の中では、無対応の部分が圧倒的に多いだろう。

そしてやっぱり、Heartbleedは健在だった。

(Heartbleedを知らなかった人は、ここで勉強してください。)

まず、良いニュースから: Heartbleedが発見された当初、セキュリティ企業Errataは60万あまりの罹患サーバを見つけた。その一か月後には、メジャーなサイトとホストの多くが大急ぎでパッチを当てたため、患者は31万8239、半分近くにまで減った。

悪いニュース: 針は止まったままだ。Heartbleedの発見から75日後にErrataのスキャンは、30万9197台の無手当サーバを見つけた。1か月前(31万8239)と、ほとんど変わっていない。

ほとんど横ばいだ。

つまり、攻撃のターゲットになりやすい上位1000ぐらいの人気サイトは健康体になったが、大量の小規模サイトはまだ病人だ。2か月後のパッチ適用率の低さを見るかぎり、最初に大騒ぎされたこのバグは、徐々に忘れられてしまったのだ。

では、ユーザは何をすべきか? いちばんよいのは、Heartbleed対策のパッチを当てたと宣言していない、古い、メンテナンスの悪いサイトには、近づかないことだ。さらに重要なのは、同じパスワードをあちこちで使いまわさず、サイトごとに違うパスワードを使うこと。そうすれば、メンテナーのいない空き家のようなフォーラムにアクセスしてパスワードを盗まれても、ほかのアカウントは無事だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

広告

blog comments powered by Disqus

コメント

mmgamess
ドラゴンポーカーはアソビモじゃなくてアソビズムですよー
Inetgate
「官廷」は「官邸」のtypoだと思われ
UNKNOWN
Morpheusは結局Oculusとほぼ同じなので視線追跡を追加したFOVEには注目していきたいです…
Ichiro Mizoguchi
Bezosじゃない並の経営者だったら、目先のことだけ考えて莫大な利益出していそうだけど、Bezosは…