Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Heartbleed」脆弱性へのアクセス増は研究者が原因か - Symantec分析

暗号化通信に用いられるライブラリ「OpenSSL」に「Heartbleed」の脆弱性が見つかった問題で、米Symantecは、人気サイトの多くが対応済みであることを明らかにした。また脆弱性に対するアクセス増は研究者による調査に起因する可能性があるとの見方も示している。

問題とされる「CVE-2014-0160」は、「OpenSSL」において重要な内部情報が外部へ漏洩する脆弱性。通称「Heartbleed」と名付けられている。悪用されると、秘密鍵をはじめ、ユーザー名、パスワードなど重要な情報が漏洩するおそれがある。

利用者の多いサイトにおける脆弱性への対応状況について、利用者動向を提供している「Alexa」の上位1000サイトについて同社が調べたところ、全サイトが脆弱性に対応済みだった。

上位5000件の場合も未対応のサイトは24件と0.5%未満。5万件へと拡大した場合も、1.8%にとどまった。同社は、一般的なユーザーが頻繁に利用するウェブサイトでは脆弱性の影響を受けないと結論付けている。

今回の脆弱性について同社は、ユーザー名やパスワード、秘密鍵などを取得されるなど深刻な脆弱性であると指摘。一方で最大の懸念事項である秘密鍵の漏洩については、攻撃を成立させるにはサーバの再起動直後など特定の条件が満たされている必要があるとし、影響は限定的であると分析している。

また脆弱なウェブサイトに対するスキャンが行われているが、攻撃者によるものではなく、研究者によるものと見られるアクセスが大半であると指摘。攻撃者が特定のサイトを標的にしている可能性もあるが、攻撃者による大量スキャンは比較的少数で、人気サイトは影響を受けていないとした。

とはいえ、引き続き注意が必要であることに変わりはないとし、ウェブ管理者に対しては、影響受けないバージョンへ「OpenSSL」をアップデートすることや、「Heartbeat 拡張」の無効化といった脆弱性の修正、情報漏洩のリスクを考慮してユーザーのパスワードをリセットするなど、検討するようを呼びかけている。

さらにサービスの利用者には、脆弱性を修正される前にデータを盗み出された可能性もあり、複数のサイトで同じパスワードを使い回さないよう推奨。

パスワードを変更する必要性については、オンラインアカウントのパスワードを変更したほうが安全だと説明している。また今回の問題へ便乗するフィッシング攻撃に注意を呼びかけている。

(Security NEXT - 2014/04/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

同一コアのスレッド同時実行技術に脆弱性 - サイドチャネル攻撃「PORTSMASH」が明らかに
OpenSSLの複数署名アルゴリズムに脆弱性 - 次期更新で修正予定
「Ruby」に2件の脆弱性、アップデートで対応 - 「Ruby 2.5.x」は再修正
「TLS 1.3」サポートした「OpenSSL 1.1.1」がリリース - 「同1.0.2」は2019年末にサポート終了
セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース
「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定
IPA、公開サーバで利用されるOSSのセキュリティ情報を発信
脆弱な「Drupal」サイトをボット化、仮想通貨発掘させる攻撃が発生
「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
OpenSSLのアップデートがリリース - 脆弱性3件を解消