OpenSSL脆弱性対策の「致命的なミス」、秘密鍵を変更せず
対策を済ませたはずのWebサイトの中に、盗まれたかもしれない秘密鍵を変更せずに新しい証明書に使っているWebサイトがあることが分かった。
オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に重大な脆弱性が見つかってから1カ月。影響を受けるWebサイトが対応に追われる中で、SSL証明書を入れ替えて古い証明書を失効させておきながら、秘密鍵を変更せずに新しい証明書にも使ってしまうという「致命的なミス」を犯しているWebサイトがあることが分かったと、セキュリティ企業の英Netcraftが5月9日のブログで報告した。
「Heartbleed」と呼ばれる今回の脆弱性では、SSL暗号化通信に利用している秘密鍵やユーザーの情報など、重大な情報が流出する恐れがある。しかも攻撃を受けたとしても、痕跡は残りにくいという。
Netcraftによると、この脆弱性の影響を受けたWebサイトのうち、証明書の再発行を行ったWebサイトは43%。しかしSSL証明書を入れ替えて古い証明書を失効させ、違う秘密鍵を使うという3段階の対策が完全にできているWebサイトは14%しかないという。
一方、5%は秘密鍵を変更しないまま証明書を再発行していることが判明。秘密鍵を変更せずに発行された新しい証明書は、問題が発覚した4月7日から5月8日までの1カ月で3万件を超えているという。
もし秘密鍵が盗まれていたとすれば、攻撃者がセキュアなWebサイトを装って暗号化された情報を解読したり、通信に割り込む中間者攻撃を仕掛けることも可能になる。
つまり、同じ秘密鍵を再利用しているWebサイトは、たとえ古い証明書を失効させたとしても、SSL証明書の入れ替えを行っていないWebサイトと同じリスクを背負うことになるという。
さらに、同じ秘密鍵を使って古い証明書も失効させていないサイトも2%あり、こうしたサイトの管理者は既に問題を修正したと思っている公算が大きいことから最も危険だとNetcraftは指摘している。
関連記事
- OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も
- OpenSSL脆弱性の再発防止へ、業界大手が重要オープンソースプロジェクトを支援
- OpenSSLの脆弱性、世界上位100万サイトの2%は未解決
- OpenSSLの脆弱性で初の被害、カナダや英国で発覚
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.