• ベストアンサー

openSSLの脆弱性について

新聞の解説記事では利用者側では対策のしようがない。金融機関側で対策が完了してからパスワードの変更を行うのが良い、と書かれています。 そうこうしている内にクレジットカード会社で800人以上の個人情報が漏洩しました。 私が利用している金融機関のうち住信SBI銀行はホームページで安全宣言がなされていますが他では見当らず一体どうなっているか不安です。 他の金融機関では対策はもう完了しているんでしょうか。いちいち確認しないと駄目でしょうか。

質問者が選んだベストアンサー

  • ベストアンサー
  • FMVNB50GJ
  • ベストアンサー率27% (411/1520)
回答No.3

サイト側の問題は、本当は大事なのにあまり欠点のような感じを世間に向けて発信したくない傾向はある、と思う。 いろいろと登録メールアドレスがあると思う。金融機関などのパスワードも。自分としては、まあ大丈夫だろう程度でそのままだが、心配なら今後定期的にパスワード変更したほうがいいかも。 2年間もほったらかしにしてきたらしいから、800人の話も氷山の一角かもしれない。何しろ、漏えい自体をサイト側で確認できないものらしいから。 ホームページで確認が取れなければ、直接問い合わせるしかないのでは。 一部には、どうしても更新を適用できず、設定の変更で対処しているところもあるとどこかで目にしたことはあるが。

akkerakan
質問者

お礼

ありがとうございました。回答を頂いて各社ホームページをつぶさに確認しましたら銀行2行と証券2社には記載がありました。しかし重要なお知らせ欄がありながらそこではなくて下の方のトピック欄に目立たぬようにひっそりと書かれているのがほとんどでした。 その点住信SBI銀行はしっかりと赤枠で囲って目立つものでしたね。 ほかに超大手銀行とネット専業最大手の2行はホームページでは見つからず電話確認しました。結果は該当のSSLは使っていないという返事でした。ホームページに未記載なことも確認しました。 結局、各行各社とも利用者のことはあまり考えていないという印象でした。

その他の回答 (2)

  • vaidurya
  • ベストアンサー率45% (2714/5983)
回答No.2

まず、openSSLではありません。 OpenSSLです。 OpenSSLは主にUNIX系OSでは、Windowsと違って、大文字と小文字は区別されるので もともと欧米であれば、あたりまえのことですが、大文字小文字は正しく使い分ける必要があります。 OpenSSLは固有名詞ですから、正しい表記をしなければ それが何を指しているのかすらわからなくなることがあります。 そういう意味では、OPEN SSLという記述を見れば それは「OpenSSLが何であるかを知らない」という宣言と受け取って構いません。 それはさておき、OpenSSLはOpenな実装であることを示しますが 正確にはオープンソースのプロダクツの一つです。 ですから、ソースコードは誰もが見ることができますし また必要であれば、誰でも改修することができます。 今回の事件では、そのソースコードから問題を発見できないまま 長い期間使われ、また配布され続けてきたことが危機感を演出しました。 反面、多くのOpenSSLを利用しているウェブサイトなどは RHELやCentOSやDebianやUbuntuなどのサーバーエディションを使っています。 そして、それらにおいて、Heartbleedについての修正は速やかに行われ システムのアップデートを行なっていれば、それらは基本的な対策はとれるわけです。 (そうでなければ、それを報じる記事が目に付いていると思います。未確認ですが) ですから、サーバーを止められないといった条件が無いかぎり すでに対策済のOpenSSLに置き換わっていると考えることができます。 もちろん、更新や対策を行なう上で、事前の検証と認証を経て 実際のサーバーに適用するという体制の企業などでは 実際の適用が、遅れるようなことも無いとは言い切れません。 新しいバージョンだからこそバグが生まれたのであれば… 同じように、最新にすればいいという考え方も、実は危ういものなのです。 まぁ、ほとんどの場合は、最新版で問題は収束に向かうものだと思いますけどね。

akkerakan
質問者

補足

>そういう意味では、OPEN SSLという記述を見れば OPEN SSL???? >それは「OpenSSLが何であるかを知らない」という宣言と受け取って構いません。 そうですね、構いませんね。私がお聞きしていたのはOpenSSLが何であるかではないですから。 お聞きしていたのは 「他の金融機関では対策はもう完了しているんでしょうか。いちいち確認しないと駄目でしょうか。」 お分かりでしたらお答えください。

noname#204068
noname#204068
回答No.1

実際、情報処理推進機構では、OPEN SSLに対して脆弱性を持っていると報告が有った為 後々ニュースとして流れただけです。 よりも記者の速報が遅い。 あなたが機械音痴の余り問い合わせをすると、逆に困ります。

akkerakan
質問者

お礼

補足を使い切ってしまいましたので「お礼」欄ですが補足になります。 IPA(情報処理推進機構)のホームページには次のようにかかれています。 ----------------------------------------------- 対策を完了したウェブサイト運営者は、対策を完了したことを利用者アナウンスしてください。その際、利用者へのお願いがあれば併記してください(たとえばパスワードの変更など)。 -----------------------------------------------

akkerakan
質問者

補足

ありがとうございます。 私は頭が悪くて回答の真意が読み取れません。 もう各金融機関では対策が完了しているということでしょうか。

関連するQ&A

専門家に質問してみよう