OpenSSL脆弱性にベンダーが状況公開、影響システムを探る動きも

「Heartbleed」問題でGoogleやMozilla、Amazon Web Servicesなどの各社が対応状況を説明。顧客側にもSSL証明書の入れ替えなどの対応を促している。

[ITmedia]

　オープンソースのSSL／TLS暗号化ライブラリ「OpenSSL」に極めて深刻な脆弱性が見つかった問題で、影響を受ける企業が緊急対応に乗り出している。この脆弱性を悪用されるとパスワードや秘密鍵などの情報が流出する恐れがあり、攻撃を受けたとしても痕跡は残らない。

　Googleは米国時間の9日までに、検索サービスやGmail、YouTube、Wallet、Play、Apps、App Engineなどの主要サービスで問題を修正したと発表した。ChromeとChrome OSは影響を受けないという。

　Google Cloud PlatformやGoogle Search Appliance（GSA）については現在対応中。Google Compute Engineの顧客は各インスタンスについてOpenSSLを手作業で更新するか、既存のイメージを更新版のOpenSSLを含むバージョンに入れ替える必要がある。

　Androidはバージョン4.1.1が影響を受け、パッチに関する情報をパートナー各社に提供している。それ以外のバージョンは影響を受けないという。

　MozillaはPersonaとFirefox Account（FxA）が影響を受けることを明らかにした。両サービスともサーバの大部分をAmazon Web Services（AWS）で運用しているという。Mozillaは全プロダクションサービスのTLS鍵を生成し直し、流出した可能性のある鍵や証明書を失効させる措置を取った。

　AWSはElastic Load Balancing、Amazon EC2、AWS OpsWorks、AWS Elastic Beanstalk、Amazon CloudFrontの各サービスが影響を受けるといい、顧客側にもSSL証明書の入れ替えなどの対応を促している。これ以外のサービスは影響を受けないか、顧客側の行動を必要としない対策を講じたとしている。

　米SANS Internet Storm Centerによると、この他にもRed HatやUbuntuなどの主要Linuxディストリビューションや、Cisco、Juniper、Novellといった各社が対応状況を公開している。

　AppleのOS X Mavericks（10.9）のデフォルトのOpenSSLは、脆弱性が存在しないバージョン0.9.8だという。ただしMacPortsを使っている場合は、脆弱性のあるOpenSSL 1.0.1がインストールされており、対応を必要とする。

対応状況を公開している主要ベンダー（SANS Internet Storm Centerより）

• CACert
• Cisco Systems
• Fortinet
• Gentoo Linux
• Juniper Networks（要ログイン）
• Juniper Networks
• F5 Networks
• Novell
• OpenVPN
• Aruba Networks
• Check Point Software Technologies
• OpenSSL
• Red hat
• Slackware
• WatchGuard Technologies
• Openvpn client（SparkLabs）
• Viscosity（SparkLabs）

　SANSによれば、脆弱性のあるシステムをリモートでスキャンするためのコンセプト実証コードも出現した。実際に探る動きも活発になっていることから、対応を急ぐ必要があるとアドバイスしている。