Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Heartbleed」脆弱性へのアクセス増は研究者が原因か - Symantec分析

暗号化通信に用いられるライブラリ「OpenSSL」に「Heartbleed」の脆弱性が見つかった問題で、米Symantecは、人気サイトの多くが対応済みであることを明らかにした。また脆弱性に対するアクセス増は研究者による調査に起因する可能性があるとの見方も示している。

問題とされる「CVE-2014-0160」は、「OpenSSL」において重要な内部情報が外部へ漏洩する脆弱性。通称「Heartbleed」と名付けられている。悪用されると、秘密鍵をはじめ、ユーザー名、パスワードなど重要な情報が漏洩するおそれがある。

利用者の多いサイトにおける脆弱性への対応状況について、利用者動向を提供している「Alexa」の上位1000サイトについて同社が調べたところ、全サイトが脆弱性に対応済みだった。

上位5000件の場合も未対応のサイトは24件と0.5%未満。5万件へと拡大した場合も、1.8%にとどまった。同社は、一般的なユーザーが頻繁に利用するウェブサイトでは脆弱性の影響を受けないと結論付けている。

今回の脆弱性について同社は、ユーザー名やパスワード、秘密鍵などを取得されるなど深刻な脆弱性であると指摘。一方で最大の懸念事項である秘密鍵の漏洩については、攻撃を成立させるにはサーバの再起動直後など特定の条件が満たされている必要があるとし、影響は限定的であると分析している。

また脆弱なウェブサイトに対するスキャンが行われているが、攻撃者によるものではなく、研究者によるものと見られるアクセスが大半であると指摘。攻撃者が特定のサイトを標的にしている可能性もあるが、攻撃者による大量スキャンは比較的少数で、人気サイトは影響を受けていないとした。

とはいえ、引き続き注意が必要であることに変わりはないとし、ウェブ管理者に対しては、影響受けないバージョンへ「OpenSSL」をアップデートすることや、「Heartbeat 拡張」の無効化といった脆弱性の修正、情報漏洩のリスクを考慮してユーザーのパスワードをリセットするなど、検討するようを呼びかけている。

さらにサービスの利用者には、脆弱性を修正される前にデータを盗み出された可能性もあり、複数のサイトで同じパスワードを使い回さないよう推奨。

パスワードを変更する必要性については、オンラインアカウントのパスワードを変更したほうが安全だと説明している。また今回の問題へ便乗するフィッシング攻撃に注意を呼びかけている。

(Security NEXT - 2014/04/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Veritas製バックアップ製品に脆弱性 - 他社類似脆弱性にも注意
OpenSSLにアップデート、重要度「低」の脆弱性4件に対応
「OpenSSL」にサービス拒否の脆弱性 - アップデートが公開
バックアップソフト「Macrium Reflect」に権限昇格の脆弱性
PHPにセキュリティアップデート - 脆弱性2件を解消
「TLS 1.2」以前に「Raccoon Attack」のおそれ - OpenSSL、F5などが対処
「Tomcat Native 1.2.24」が公開 - OpenSSL脆弱性に対応
OpenSSLにリモートよりDoS攻撃受けるおそれ
「OpenSSL 1.1.1e」がリリース、バグや脆弱性を修正
サポート終了目前に「OpenSSL 1.0.2u」をリリース