ニュース
OpenSSLの脆弱性「Heartbleed」、約20万のサーバやサービスでいまだに放置
Shodanの報告書によると、1月22日の時点でHeartbleedの脆弱性が修正されないまま放置されているサーバやサービスは19万9594件に上る。
2014年4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性について、2年近くたった今も、この脆弱性が修正されないまま放置されているサーバやサービスが約20万件に上ることが、Shodanの報告書で明らかになった。
それによると、2017年1月22日の時点でHeartbleedの脆弱性(CVE-2014-0160)を検索したところ、19万9594件の検索結果が表示された。国別に見ると、米国を筆頭に韓国、中国、ドイツなどが多数を占めていた。
ドメイン別ではAmazon AWSで使われている「amazonaws.com」が最多で、AWSでホスティングされているサーバの脆弱性が修正されないまま放置されている様子がうかがえる。
サービス別ではHTTPS、製品別ではApache httpdが突出して多かった。
Heartbleedの脆弱性は2014年4月に発覚し、同月公開された「OpenSSL 1.0.1g」で修正された。影響は極めて広範に及び、悪用されればパスワードや秘密鍵などの情報が簡単に盗まれてしまう恐れがあることから、セキュリティ機関などが対応を急ぐよう呼び掛けていた。
関連記事
- OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。 - OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も
パスワードや秘密鍵といった情報が簡単に盗まれてしまうことも実証され、影響は非常に広範に及ぶ。 - 「Heartbleed」の脆弱性問題、Web管理者とユーザーの対策ポイント
OpenSSLで見つかった「Heartbleed」脆弱性への対策ポイントをセキュリティ各社が紹介している。シマンテックは、サイト利用者のためのツールも公開した。 - OpenSSLの「Heartbleed」脆弱性、サーバ30万台は修正気配なし?
2カ月以上たった今でも脆弱性が放置されている現状に、「人々はパッチを当てようと試みることさえやめてしまったらしい」とErrata Securityは指摘する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.