OpenSSL に見つかった「ハートブリード・バグ」に関するニュースで目にした「compromise」の意味とは?
インターネット界が揺れています。何に揺れているかというと、バグです。「ハートブリード(心臓出血)・バグ(heartbleed bug)」という、世にもけったいな名前のバグ(欠陥)が見つかったのです。
ジェガーさんから『How to Protect Yourself From the Heartbleed Bug』(4.9.2014)という記事が送られてきたので、読んでみると、”compromise” という単語が2回出てきました。
If you have logged into any of the affected sites over the past two years, your account information could be compromised, allowing cybercriminals to snap up your credit card information or steal your passwords.
Thus, it’s hard to determine whether someone ever exploited the bug, or if your account information was compromised.
ポイント
“compromise” は、私は「妥協する」という意味しか知らなかったのですが、ここでは「危険にさらす」という意味で使われています。
- to solve a problem or end an argument by accepting that you cannot have everything that you want
- to risk harming or losing something important
- to behave in a way that is not honest by doing things that do not agree with what you previously believed in or tried to achieve
(傷ついたり、あるいは重要なものを失う危険を冒す、という意味なんですね!3. のように、かつての信条や目標に合わない行為をして不正直にふるまう、という意味もあります。)
つまり1文目は、「影響のあったサイトに過去2年内にログインしていた場合、アカウント情報が危険にさらされ、ネットの犯罪者がクレジット・カード情報をさらったり、パスワードを盗める状況を作り出していた可能性がある」、そして2文目は「このように、誰かがバグを悪用したかどうか、あるいはアカウント情報が危険にさらされていたかどうかを見極めるのは難しい」と書かれていたのでした。
補足
というわけでこの「ハートブリード・バグ」、インターネットにとってこれまでで最も深刻な脅威になる可能性があると言われています。
The issue involves network software called OpenSSL, which is an open-source set of libraries for encrypting online services. Secure websites — with “https” in the URL (“s” stands for secure) — make up 56% of websites, and nearly half of those sites were vulnerable to the bug.
(問題が起きているのは OpenSSL と呼ばれるネットワーク・ソフトウェア。暗号化オンライン・サービスの、オープンソース・ライブラリ・セットだ。サイト全体の56%を占める、URL に “https”〔”s” は “secure” の “s”〕が含まれるような安全なサイトのうち、半分近くがこのバグの影響を受けている。)
不幸中の幸いは、問題に最初に気付いたのが、ハッカーでなく Google のセキュリティ・チームのメンバーとソフトウェア会社『Codenomicon』だと言われていること。ただし、ハッカーたちが痕跡を残さずに情報を引き出した可能性も無視できません。
<対策>
- 自分が使っているサイトがバグの影響を受けているか確認する
- パスワードを変更する
メジャーなサイトもけっこう影響を受けています。(※以下、米4月10日時点にて via Mashable)
| Website | Was it affected? | Is there a patch? | Do you need to change your password? |
|---|---|---|---|
| Unclear | Yes | YES | |
| Yes | Yes | YES | |
| No | No | No | |
| Yes | Yes | YES | |
| Tumblr | Yes | Yes | YES |
| No | Yes | Unclear | |
| Apple | No | No | No |
| Amazon | No | No | No |
| Amazon Web Services | Yes | Yes | YES |
| Yes | Yes | YES *Google said users do not need to change their passwords, but because of the previous vulnerability, better safe than sorry. | |
| Microsoft | No | No | No |
| Yahoo | Yes | Yes | YES |
| Gmail | Yes | Yes | YES *Google said users do not need to change their passwords, but because of the previous vulnerability, better safe than sorry. |
| Hotmail / Outlook | No | No | No |
| Yahoo Mail | Yes | Yes | YES |
| eBay | No | No | No |
| Etsy | Yes | Yes | YES |
| GoDaddy | Yes | Yes | YES |
| Groupon | No | No | No |
| PayPal | No | No | No |
| Bank of America | No | No | No |
| Chase | No | No | No |
| U.S. Bank | No | No | No |
| Wells Fargo | No | No | No |
| Healthcare .gov | No | No | No |
| Intuit (TurboTax) | Yes | Yes | YES |
| IRS | Unclear | Unclear | Unclear |
| Dropbox | Yes | Yes | YES |
| Evernote | No | No | No |
| Hulu | Unclear | Unclear | Unclear |
| Netflix | Unclear | Unclear | Unclear |
| SoundCloud | Yes | Yes | YES |
| WordPress | Unclear | Unclear | Unclear |
その他のサイトについては、以下のサイト『LastPass – LastPass Heartbleed checker』で URL を入力して確認することができます。
(クリックするとリンク先に飛びます)
注意するのは、各サイトがハートブリード・バグに対応するようサーバーをアップデートしているか、まず確認すること。そうでなければ、パスワードを変更しても意味がありません。
It’s important to wait to get the “all clear” sign from a company or service before changing, especially now that this bug is out in the open. Changing a password before the bug is fully patched wont’ make things any better.
(バグが明るみになっている現状では特に、会社やサービスから「問題なし」という報告が出るまで、変更せずに待つことが重要だ。バグが完全に対応される前にパスワードを変えても、事態はよくならない。)
上記の表で赤字で YES としているものに関しては、サーバーがアップデート済みなので、パスワードを変更して問題ないようです。
・・・大きな事態につながりませんように。
