Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

9日より「OpenSSL」への攻撃増加 - 秘密鍵漏洩に注意を

暗号化ライブラリの「OpenSSL」にリモートより情報を窃取される深刻な脆弱性「CVE-2014-0160」が見つかった問題で、脆弱性を探索する動きが4月9日より増加していることがわかった。

問題の脆弱性は、プロセスのメモリを取得できる脆弱性で、「Heartbleed」とも呼ばれている。悪用されるとSSL通信の秘密鍵など、外部より情報を取得されるおそれがある。「OpenSSL」の利用者は多く、脆弱性が悪用された場合の影響も大きいことから、被害を懸念する声も出ている。

20140411_np_001.jpg
定点観測システムにおけるポート別の検知件数(警察庁)

脆弱性の有無を確認できるコードは、8日より公開されている。警察庁によれば、同庁の定点観測システムにおいて、4月9日5時ごろより、攻撃コードに実装されているパケットと一致する通信を観測しているという。

同庁では脆弱性が存在するサーバの探索が実施されていると分析。ピークを迎えた同日2時ごろには、TCP465番ポートへ1時間あたり350件以上のアクセスを検知した。その後アクセス数は縮小しているが、今後の動きに注意する必要がある。

「OpenSSL」を利用している製品は多岐にわたるため、同庁では、使用する製品が「OpenSSL」を利用しているか確認し、必要に応じてアップデートを実施するよう注意を喚起。

さらに脆弱性が存在する状態でSSL証明書を外部に公開していた場合は、秘密鍵が漏洩している可能性もあるとして、使用する証明書を失効させ、再発行することを推奨している。

(Security NEXT - 2014/04/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Node.js」にセキュリティアップデート - 複数脆弱性を修正
「OpenSSL」にアップデート - 累積した脆弱性4件を解消
「OpenSSL」に脆弱性「CVE-2024-0727」 - 今後修正予定
「OpenSSL」のRSA公開鍵チェックに脆弱性 - SSL/TLS実装に影響なし
「OpenSSL」に脆弱性、PowerPC環境下で影響 - 今後の更新で修正
新機能を盛り込んだ「OpenSSL 3.2.0」がリリース
「OpenSSL」にサービス拒否の脆弱性 - 重要度は「低」
「OpenSSL」にアップデート - 「同1.1.1」はサポート終了
「OpenSSL」に重要度「低」の脆弱性 - Windowsの64ビット環境に影響
「OpenSSL」にアップデート、累積した脆弱性3件を解消