ニュース
» 2014年01月07日 07時40分 UPDATE

OpenSSLのWebサイトに改ざん被害、ソースコードは無事

OpenSSLが使っているプロバイダーのパスワードセキュリティの不備を突いてハイパーバイザーの管理コンソールを制御され、OpenSSLの仮想サーバが操られていたことが分かった。

[鈴木聖子,ITmedia]

 オープンソースのSSL/TLS実装ツールキット「OpenSSL」のWebサイトが改ざんされる被害に遭った。ハイパーバイザーを通じて攻撃が仕掛けられていたことが判明し、セキュリティ機関などが対策を促している。

 OpenSSLのサイトに掲載された1月3日付の告知によると、「www.openssl.org」のホームページ改ざんは2013年12月29日に発生した。数時間後には復旧し、調査と対応に乗り出したという。

 OpenSSLは仮想サーバを使っていて、同じインターネットサービスプロバイダー(ISP)の顧客との間でハイパーバイザーを共有しているという。調査の結果、このISPのパスワードセキュリティの不備を突いて攻撃が仕掛けられたことが判明。ハイパーバイザーの管理コンソールを制御され、そこからOpenSSLの仮想サーバが操られていたことが分かった。

 ただ、ソースコードのリポジトリは影響を受けていないとOpenSSLは強調している。今回の攻撃で改ざんされたのは同サイトのWebページのみで、それ以外のページが改ざんされた形跡はなく、OSやOpenSSLアプリケーションの脆弱性が悪用されたわけでもないという。

 米セキュリティ機関のSANS Internet Storm Centerは、この種の攻撃は今後さらに横行するだろうと予想する。被害を防ぐためにはHypervisorを不正アクセスから守ることはもちろん、仮想マシン(VM)を物理マシンと同様に守ること、BIOSやブートパスワードの使用、DVD-ROMやUSBストレージの無効化といった対策を挙げている。

関連キーワード

OpenSSL | 改ざん | サーバ仮想化


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -