本記事は、Microsoft Security のブログ “Microsoft Services unaffected by OpenSSL “Heartbleed” vulnerability" (2014 年 4 月 10 日公開) を翻訳した記事です。
信頼できるコンピューティング ディレクター トレーシー・プレトリウス
2014 年 4 月 8 日 (米国日付) に、セキュリティ研究者たちは、顧客データを保護するために多くの Web サイトで使用されている OpenSSL の暗号化ソフトウェア ライブラリに不具合があることを発表しました。この脆弱性は、「Heartbleed」という名称で知られており、サイバー攻撃者が通信用の暗号化キーを使用して Web サイトの顧客データへのアクセスを許可する可能性があります。
綿密な調査によって、マイクロソフトは、他のほとんどの Microsoft サービスと同様に、Microsoft アカウント、Microsoft Azure、Office 365、Yammer、および Skype が OpenSSL「Heartbleed」脆弱性の影響を受けないと判断しました。SSL/TLS を実装している Windows についても影響を受けません。(補足 1、補足 2) 他、数個のサービスについて、確認および、さらなる保護を更新し続けます。
マイクロソフトは、常に、オンライン アカウントのセキュリティに関して用心し、定期的なアカウント パスワードの変更と複雑なパスワードの使用をお客様に推奨しています。強力なパスワードを作成する方法の詳細は、セーフティとセキュリティ センターの「パスワードのチェック - パスワードは強力か?」を参照してください。
2014/4/22 追記
補足 1: 本情報を公開した 2014 年 4 月 14 日時点でサポートされているすべてのバージョンの Windows が対象です。
補足 2: Windows 上で動作するマイクロソフト製品では、既定の設定では SSL/TLS の動作を行う場合 Windows OS の実装 (Schannel) を利用いたします。そのため、今回の脆弱性には該当いたしません。ご詳細は「Information about HeartBleed and IIS」(英語情報) をご参照ください。