OpenSSLの脆弱性「Heartbleed」、約20万のサーバやサービスでいまだに放置

Shodanの報告書によると、1月22日の時点でHeartbleedの脆弱性が修正されないまま放置されているサーバやサービスは19万9594件に上る。

» 2017年01月24日 08時49分 公開
[鈴木聖子ITmedia]

 2014年4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性について、2年近くたった今も、この脆弱性が修正されないまま放置されているサーバやサービスが約20万件に上ることが、Shodanの報告書で明らかになった。

 それによると、2017年1月22日の時点でHeartbleedの脆弱性(CVE-2014-0160)を検索したところ、19万9594件の検索結果が表示された。国別に見ると、米国を筆頭に韓国、中国、ドイツなどが多数を占めていた。

photo Heartbleedの脆弱性が修正されていないサーバやサービスについて、国別に見ると、米国を筆頭に韓国、中国、ドイツなどが多数を占めている(出典:Shodan)

 ドメイン別ではAmazon AWSで使われている「amazonaws.com」が最多で、AWSでホスティングされているサーバの脆弱性が修正されないまま放置されている様子がうかがえる。

 サービス別ではHTTPS、製品別ではApache httpdが突出して多かった。

 Heartbleedの脆弱性は2014年4月に発覚し、同月公開された「OpenSSL 1.0.1g」で修正された。影響は極めて広範に及び、悪用されればパスワードや秘密鍵などの情報が簡単に盗まれてしまう恐れがあることから、セキュリティ機関などが対応を急ぐよう呼び掛けていた。

photo ドメイン別ではAmazon AWSで使われている「amazonaws.com」が最多。AWSでホスティングされているサーバの脆弱性が修正されないまま放置されている様子がうかがえる(出典:Shodan)

関連キーワード

脆弱性 | サーバ | OpenSSL


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ