Netcraft - Internet Research, Anti-Phishing and PCI Security Services |
インターネットサービス企業Netcraftは4月8日(英国時間)、「Half a million widely trusted websites vulnerable to Heartbleed bug|Netcraft」において、認証局が発行したSSL証明書を使っているWebサーバのうち17%ほどが今回発見されたOpenSSLのセキュリティ脆弱性(通称Heartbleed)を抱えていると伝えた。
Heartbleedセキュリティ脆弱性を抱えたサーバは意図的に細工されたHeartbeatリクエストを受け取ると、同一プロセス内のデータを約64KBほど漏洩させてしまうという実装上の問題のこと。このセキュリティ脆弱性を利用されると秘密鍵やパスワードといったデータが第三者に閲覧される可能性があり危険性が高い。しかも影響範囲は広く、今後も長く尾を引くことになるものとみられる。
認証局によって発行されたSSL証明書を使っているといった場合でもこのセキュリティ脆弱性を抱えたサーバで動作している可能性があるため注意が必要。また、仮に今回のセキュリティ脆弱性の問題が修正されたサーバだとしても、それまでの段階でSSL証明書の秘密鍵が漏洩している可能性もあり必ずしも信用できるとは限らない。影響を受けたかどうかの判断が難しいというこうした状況においては、ユーザとしてはパスワードの変更などで対処を、サービス提供側はSSL証明書の再発行と再デプロイなどの対処が望まれる。