OpenSSLの脆弱性、いまだに悪用可能なWebサイトが相当数存在

セキュリティ企業が6月上旬に発覚したOpenSSLの脆弱性への対応状況を調査した。

[鈴木聖子，ITmedia]

6月上旬に発覚したオープンソースのSSL／TLS実装ライブラリ「OpenSSL」の脆弱性について、いまだに脆弱性が修正されていない大手サイトが相当数存在するという調査結果をセキュリティ企業Qualysが公表した。

　OpenSSLプロジェクトは6月5日にセキュリティ情報を公開して6件の脆弱性を修正した。中でも「SSL/TLSの中間者攻撃の脆弱性」（CVE-2014-0224）では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れが指摘されていた。

　Qualysによれば、ほとんどのWebブラウザはOpenSSLに依存しておらず、ブラウザのユーザーの大半はこの問題の影響を受けないという。ただしAndroidブラウザはOpenSSLを使っているほか、コマンドラインなどのプログラミングツールはOpenSSLを使っているものが多く、特にOpenVPNのようなVPN製品は標的になりかねない。

　今回の脆弱性はOpenSSLの全バージョンに存在するが、悪用するためにはクライアント側とサーバ側がともに脆弱性のあるOpenSSLを使っていて、しかもサーバがバージョン1.0.1以降である必要がある。

　Qualysは6月11日、この脆弱性への対応状況を調査するため、HTTPS対応の大手サイトにおけるSSL実装の強度をモニタするSSL Pulseプロジェクトの対象サイト約15万サイトをスキャンした。

　その結果、サーバの約49％に脆弱性が存在し、うち約14％が悪用可能な1.0.1系を使用していることが分かった。

Qualysが15万サイトで実施したSSLの実装状況（同社サイトより）

　脆弱性のある0.9.x〜1.0.0のOpenSSLを使っているサーバについても、今回発覚した手段での悪用はできないかもしれないが、別の方法で悪用される恐れもあるとして、アップグレードを勧告している。