1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 |
ユーザ各位 *本問題はお使いのGmailを始め、パスワードを盗む攻撃についての情報です。 *従って、ご利用のウェブブラウザやOSについてのアップデートを実施してください。 1. OSアップデート方法 - Windows: http://update.microsoft.com/microsoftupdate にアクセスして指示に従う - Macintosh: 左上のアップルメニューから「ソフトウェアアップデート」を行う 2. ウェブブラウザの更新方法 - Internet Explorer: WindowsのOSアップデートをすると自動的に更新されます。 - Firefox: 上部「ヘルプ」メニューから「ソフトウェアの更新をチェック」 - Google Chrome: 何もする必要はありません。本ブラウザはすべてのシステムが完全自動でupdate される仕組みのためです。 この極めて重大なセキュリティ脆弱性によって、高度な技術を有している人でも本パスワードを盗む 攻撃を見抜くことは至難の業です。 ■影響範囲 影響範囲は、下記のサイトで使われているSSL暗号化サービスのみです。 しかしサイトが極めてよく使われているため、影響はかなりの範囲に及ぶ可能性があります。 - Google - Yahoo - Hotmail - Skype - Firefox Add-on Site - Global Trustee 今回の件について具体的に説明しますと、 https://gmail.comでGmailにアクセスするとき、https://gmail.comが本当にGoogleが提供してるか どうか、判断できるか? という点です。通常は、公的なSSL認証局がその正当性を保証します。 しかし今回はその認証局のシステムが乗っ取られてしまいました。 それも先日所員会議で注意喚起しましたように、システムオペレータのパスワードを何からの方法 で奪取してシステム内部に侵入したようです。 侵入によって得られたSSL認証情報を使えば、上記サイトに成りすますことが可能です。 それに成功すれば、利用者がGmailやYahooメールを読むつもりで入力したIDとパスワードが そのまま攻撃者の手に渡ってしまうことになります。結果としてメールの中身が全部漏えいする 可能性もあります。 すでに主要なウェブブラウザやOSは、本問題に対処しました。 後はその対処されたバージョンにUpdateするのみとなっています。 本件のニュースにより詳しく、分かりやすく解説されています。 合わせてご参照ください。 英語News: <a href="http://www.thehackernews.com/2011/03/iran-hackers-targets-gmail-and-skype.html">http://www.thehackernews.com/2011/03/iran-hackers-targets-gmail-and-skype.html</a> 日本語記事:<a href="http://www.itmedia.co.jp/enterprise/articles/1103/24/news020.html">http://www.itmedia.co.jp/enterprise/articles/1103/24/news020.html</a> 2011年3月25日 情報処理室・木谷 |
Gmail等に重大な影響を及ぼすSSL認証局への不正侵入対策