Bitcoinのウォレットやオンラインのウォレット、取引所などを使っている人にとってHeartbleedは、きわめて現実的で深刻な問題だ。しかし幸運にも、パニックは数日で収まり、比較的簡単な対策があることが分かってきた。
まず第一に、Bitcoinの転送に用いられているBitcoinのcoreプロトコルそのものは影響を受けない。
CryptocoinsNewsのVenzen Khaosanは、こう書いている:
“Bitcoin CoreのクライアントはOpenSSLの脆弱性対策として0.9.1にアップグレードされるが、coreのデベロッパたちは、BitcoinプロトコルそのものはHeartbleedバグの影響を受けない、と強調している”。
しかし取引所の多くは、念のために一部のサービスを停止している。昨日Bitstampは、同社のサーバへのHeartbleedの影響を調べる際、“認証と登録、ログイン、および仮想通貨のすべての引き出し機能”を遮断した。DDOS対抗サービスIncapsulaは、安全のために同社のサーバをアップデートした。Bitstampはその後、すべての機能をリスタートした。ハッカーがHeartbleedを悪用すると、サーバ上のメールアドレス、キー、ログイン情報などをすべて盗むことができる。
BitcurexやBlockchain.infoなども、そのサービスにパッチをあててアップデートした、といわれている。
自分のマシンにウォレットのある人は、どうか。少々のアップデートが望ましい。 Bitcoin Coreのニューバージョン0.9.1が出たばかりだが、それはウォレットのセキュリティが改良されている。ユーザのOpenSSLはopenssl 1.0.1g以降のバージョンであること。それはBitcoin-Qt(Bitcoin Core)のHelp->Debugウィンドウで分かる。Multibitなど、アップデートしていないところは、元々影響のないサイトだが、暗号化とパスワードによってあなたのBitcoinを守ることは重要だ。
まとめると、あなたのBitcoinに触れるものはすべてアップデートすること。対策状態を公表していない取引所は使わないこと。OpenSSLのこのバグが存在するようになってから今日までの2年間で、あなたのユーザネームやパスワードが絶対に無事だったという保証はないから、Bitcoinのデータも含めて、何もかも変えること。あなたのオンライン生活の細部をちょっと知っただけで、ウォレットに侵入できるハッカーも、きっといる。
Bitcoin FoundationのMike Hearnはこう書いている:
“影響は拡大しないと期待している。主要サイトはアップグレード後にSSLキーをローテートしなければならないだろう。ウォレットの秘密鍵は、このバグの影響が及ばない別のサーバプロセスに置かれているところが多い。ただし、一部の不注意なサイトで盗難事件が起きたとしても、それは意外ではない”。
.
被害は甚大ではなかったが、しかし完全に安心とも言えないのだ。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))