OpenSSLの「Heartbleed」脆弱性、サーバ30万台は修正気配なし？

2カ月以上たった今でも脆弱性が放置されている現状に、「人々はパッチを当てようと試みることさえやめてしまったらしい」とErrata Securityは指摘する。

[鈴木聖子，ITmedia]

　オープンソースのSSL／TLS実装ライブラリ「OpenSSL」に「Heartbleed」と呼ばれる重大な脆弱性が見つかった問題で、セキュリティコンサルティング企業のErrata Securityは6月21日、パッチが公開されてから2カ月以上たった今でも、脆弱性が放置されているサーバが30万台以上存在することが分かったと報告した。

　Heartbleedの脆弱性は2014年4月に発覚し、修正のための更新版「OpenSSL 1.0.1g」が4月7日に公開された。Errataはこの時点で行った調査で、約60万台のサーバにこの脆弱性の存在を確認していた。

　それから1カ月後の5月上旬に行った調査では約半数のサーバにパッチが適用され、脆弱性のあるサーバは約31万8239台に減少したことが判明。しかし、6月20日に再びスキャンして調べたところ、依然として30万9197台のサーバに脆弱性があることが分かった。これは443番ポートのみをスキャンした結果であり、その他のポートはチェックしていないという。

　Errataはこの現状について、「人々はパッチを当てようと試みることさえやめてしまったらしい。今後は古いシステムの入れ替えに伴って徐々に減少するだろうが、今から10年たっても、まだ何千台ものシステムに脆弱性が存在し続けているだろう」と予想している。