Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

9日より「OpenSSL」への攻撃増加 - 秘密鍵漏洩に注意を

暗号化ライブラリの「OpenSSL」にリモートより情報を窃取される深刻な脆弱性「CVE-2014-0160」が見つかった問題で、脆弱性を探索する動きが4月9日より増加していることがわかった。

問題の脆弱性は、プロセスのメモリを取得できる脆弱性で、「Heartbleed」とも呼ばれている。悪用されるとSSL通信の秘密鍵など、外部より情報を取得されるおそれがある。「OpenSSL」の利用者は多く、脆弱性が悪用された場合の影響も大きいことから、被害を懸念する声も出ている。

20140411_np_001.jpg
定点観測システムにおけるポート別の検知件数(警察庁)

脆弱性の有無を確認できるコードは、8日より公開されている。警察庁によれば、同庁の定点観測システムにおいて、4月9日5時ごろより、攻撃コードに実装されているパケットと一致する通信を観測しているという。

同庁では脆弱性が存在するサーバの探索が実施されていると分析。ピークを迎えた同日2時ごろには、TCP465番ポートへ1時間あたり350件以上のアクセスを検知した。その後アクセス数は縮小しているが、今後の動きに注意する必要がある。

「OpenSSL」を利用している製品は多岐にわたるため、同庁では、使用する製品が「OpenSSL」を利用しているか確認し、必要に応じてアップデートを実施するよう注意を喚起。

さらに脆弱性が存在する状態でSSL証明書を外部に公開していた場合は、秘密鍵が漏洩している可能性もあるとして、使用する証明書を失効させ、再発行することを推奨している。

(Security NEXT - 2014/04/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

同一コアのスレッド同時実行技術に脆弱性 - サイドチャネル攻撃「PORTSMASH」が明らかに
OpenSSLの複数署名アルゴリズムに脆弱性 - 次期更新で修正予定
「Ruby」に2件の脆弱性、アップデートで対応 - 「Ruby 2.5.x」は再修正
「TLS 1.3」サポートした「OpenSSL 1.1.1」がリリース - 「同1.0.2」は2019年末にサポート終了
セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース
「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定
IPA、公開サーバで利用されるOSSのセキュリティ情報を発信
脆弱な「Drupal」サイトをボット化、仮想通貨発掘させる攻撃が発生
「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
OpenSSLのアップデートがリリース - 脆弱性3件を解消