OpenSSLのWebサイトに改ざん被害、ソースコードは無事

OpenSSLが使っているプロバイダーのパスワードセキュリティの不備を突いてハイパーバイザーの管理コンソールを制御され、OpenSSLの仮想サーバが操られていたことが分かった。

[鈴木聖子，ITmedia]

　オープンソースのSSL／TLS実装ツールキット「OpenSSL」のWebサイトが改ざんされる被害に遭った。ハイパーバイザーを通じて攻撃が仕掛けられていたことが判明し、セキュリティ機関などが対策を促している。

　OpenSSLのサイトに掲載された1月3日付の告知によると、「www.openssl.org」のホームページ改ざんは2013年12月29日に発生した。数時間後には復旧し、調査と対応に乗り出したという。

　OpenSSLは仮想サーバを使っていて、同じインターネットサービスプロバイダー（ISP）の顧客との間でハイパーバイザーを共有しているという。調査の結果、このISPのパスワードセキュリティの不備を突いて攻撃が仕掛けられたことが判明。ハイパーバイザーの管理コンソールを制御され、そこからOpenSSLの仮想サーバが操られていたことが分かった。

　ただ、ソースコードのリポジトリは影響を受けていないとOpenSSLは強調している。今回の攻撃で改ざんされたのは同サイトのWebページのみで、それ以外のページが改ざんされた形跡はなく、OSやOpenSSLアプリケーションの脆弱性が悪用されたわけでもないという。

　米セキュリティ機関のSANS Internet Storm Centerは、この種の攻撃は今後さらに横行するだろうと予想する。被害を防ぐためにはHypervisorを不正アクセスから守ることはもちろん、仮想マシン（VM）を物理マシンと同様に守ること、BIOSやブートパスワードの使用、DVD-ROMやUSBストレージの無効化といった対策を挙げている。