OpenSSLの脆弱性問題には冷静な対応を

世界中のWebサイトに影響する可能性があるものの、利用者の多いWebサイトでは対応も進む。今回の問題に限らず、インターネットでは常にセキュリティへの意識を高めておくことが肝心だ。

» 2014年04月16日 17時32分 公開
[ITmedia]

 オープンソースの暗号化ソフトウェアライブラリのOpenSSLに脆弱性が見つかった問題は、一般のニュースでも広く取り上げられるほど大きな話題になっている。問題発覚から1週間が経過し、利用者の多いWebサイトでは脆弱性対応が進んでいる。話題性に左右されず、冷静な対応が必要との意見も出ている。

 この脆弱性は、OpenSSLのTSL拡張機能「Heartbeat」に起因するもので、脆弱性を悪用された場合に、通信の暗号化に必要な秘密鍵が盗まれ、第三者に情報が漏えいする可能性がある。基本的な対策はHeartbeatを使用しないか、脆弱性を修正したバージョン(OpenSSL 1.0.1g)への更新となる。

 OpenSSLは特に暗号化通信を伴うWebサイトで広く使われ、Webサーバソフトの統計データなどから世界中のWebサイトの半数以上に影響が及ぶとの指摘があった。このため、「インターネットの根幹を揺るがす深刻な事態」と報じるニュースが少なくない。

 一方、Webサービスなどを展開する大手事業者は問題発覚時から迅速に対応し、GoogleやAmazonなどは影響するサービスの修正や顧客への通知などを行った。Microsoftは大半のサービスで影響を受けないことを確認したと説明している

 シマンテックによると、4月16日時点でWeb解析サービスAlexaの上位1000サイト全てが脆弱性対応を既に完了している。上位5万サイトで脆弱性の影響を受けるのは1.8%だったという。

 トレンドマイクロは、10日時点でAlexの上位100万サイトのうち5%に影響が及ぶとし、ドメイン別では韓国、日本、ロシアが上位3つを占めた。Web通信を伴うモバイルアプリへの影響も指摘し、11日時点でGoogle Playに公開されている約7000アプリが脆弱性を抱えたサーバへ接続することが分かったという。

国別ドメインでの脆弱性状況(トレンドマイクロより)

 脆弱性を抱えたWebサイトを見つけ出す攻撃が拡大しているとの報道から、「直ちに情報が漏えいするのでは?」と不安に感じるユーザーは少なくようだ。だだ、シマンテックでは探索活動の大半がセキュリティ企業や研究者の調査によるものであるとし、サイバー攻撃者による探索は比較的少ないという。同社では「報道が過熱気味だが、冷静な対応が必要」と提起する。

シマンテックでの調査状況

 脆弱性による危険性が明るみなった以上、該当するOpenSSLを利用しているWebサイトの管理者や製品開発者などには迅速な対応が求められるものの、一般ユーザーは慌てることなく、自身が利用するサービスや製品について、普段とは異なる傾向がみられるかどうかなど、状況を慎重に見極めるなどの対応が必要だ。

 万一不審な点がみられる場合は、(1)利用するサービスや製品の提供元の最新情報を確認する、(2)パスワード変更などの通知があった場合は依頼元が正規であるかを確認して対応する――などがポイントになる。

 Webサイト側では修正版のOpenSSL 1.0.1gへの更新が適切な対応策とされるが、更新にはシステム停止を伴うケースもあり、すぐに対応できない場合もある。こうしたWebサイト管理者に対し、セキュリティ各社では脆弱性攻撃をネットワークレベルで遮断する「仮想パッチ」やIPS/IDS(不正侵入検知/防御システム)などの対策を活用して、OpenSSL 1.0.1gへの更新対応を呼び掛ける。

 トレンドマイクロはサーバセキュリティ製品「TrendMicro DeepSecurity」、シマンテックやシスコシステムズ、日本IBM、マカフィーはIPS、ジュニパーネットワークスはIDSでそれぞれ今回の脆弱性悪用攻撃に対処している。

関連キーワード

脆弱性 | OpenSSL | 暗号化 | インターネット


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ