ニュース
» 2014年05月12日 07時45分 UPDATE

OpenSSL脆弱性対策の「致命的なミス」、秘密鍵を変更せず

対策を済ませたはずのWebサイトの中に、盗まれたかもしれない秘密鍵を変更せずに新しい証明書に使っているWebサイトがあることが分かった。

[鈴木聖子,ITmedia]

 オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に重大な脆弱性が見つかってから1カ月。影響を受けるWebサイトが対応に追われる中で、SSL証明書を入れ替えて古い証明書を失効させておきながら、秘密鍵を変更せずに新しい証明書にも使ってしまうという「致命的なミス」を犯しているWebサイトがあることが分かったと、セキュリティ企業の英Netcraftが5月9日のブログで報告した。

 「Heartbleed」と呼ばれる今回の脆弱性では、SSL暗号化通信に利用している秘密鍵やユーザーの情報など、重大な情報が流出する恐れがある。しかも攻撃を受けたとしても、痕跡は残りにくいという。

 Netcraftによると、この脆弱性の影響を受けたWebサイトのうち、証明書の再発行を行ったWebサイトは43%。しかしSSL証明書を入れ替えて古い証明書を失効させ、違う秘密鍵を使うという3段階の対策が完全にできているWebサイトは14%しかないという。

 一方、5%は秘密鍵を変更しないまま証明書を再発行していることが判明。秘密鍵を変更せずに発行された新しい証明書は、問題が発覚した4月7日から5月8日までの1カ月で3万件を超えているという。

 もし秘密鍵が盗まれていたとすれば、攻撃者がセキュアなWebサイトを装って暗号化された情報を解読したり、通信に割り込む中間者攻撃を仕掛けることも可能になる。

 つまり、同じ秘密鍵を再利用しているWebサイトは、たとえ古い証明書を失効させたとしても、SSL証明書の入れ替えを行っていないWebサイトと同じリスクを背負うことになるという。

 さらに、同じ秘密鍵を使って古い証明書も失効させていないサイトも2%あり、こうしたサイトの管理者は既に問題を修正したと思っている公算が大きいことから最も危険だとNetcraftは指摘している。

関連キーワード

脆弱性 | OpenSSL | 暗号化 | サーバ証明書


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -