Heartbleedはまだ生きている、多くの零細サイトが無手当のまま

次の記事

Google、ドメイン販売に参入へ

bleed

セキュリティの研究者たちがHeartbleedバグにおびえたのも、当然だ。特効薬がないからだ。一部の人たちが躍起になって、多くのシステムにパッチを当てても、インターネット全体の中では、無対応の部分が圧倒的に多いだろう。

そしてやっぱり、Heartbleedは健在だった。

(Heartbleedを知らなかった人は、ここで勉強してください。)

まず、良いニュースから: Heartbleedが発見された当初、セキュリティ企業Errataは60万あまりの罹患サーバを見つけた。その一か月後には、メジャーなサイトとホストの多くが大急ぎでパッチを当てたため、患者は31万8239、半分近くにまで減った。

悪いニュース: 針は止まったままだ。Heartbleedの発見から75日後にErrataのスキャンは、30万9197台の無手当サーバを見つけた。1か月前(31万8239)と、ほとんど変わっていない。

ほとんど横ばいだ。

つまり、攻撃のターゲットになりやすい上位1000ぐらいの人気サイトは健康体になったが、大量の小規模サイトはまだ病人だ。2か月後のパッチ適用率の低さを見るかぎり、最初に大騒ぎされたこのバグは、徐々に忘れられてしまったのだ。

では、ユーザは何をすべきか? いちばんよいのは、Heartbleed対策のパッチを当てたと宣言していない、古い、メンテナンスの悪いサイトには、近づかないことだ。さらに重要なのは、同じパスワードをあちこちで使いまわさず、サイトごとに違うパスワードを使うこと。そうすれば、メンテナーのいない空き家のようなフォーラムにアクセスしてパスワードを盗まれても、ほかのアカウントは無事だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

blog comments powered by Disqus
フォロー

新しい投稿をメールで受信しましょう。

現在205人フォロワーがいます。