オープンソースのSSL/TSL実装ライブラリ「OpenSSL」に「Heartbleed」と呼ばれる脆弱性があることが明らかになってから1ヵ月以上が経過するが、まったく対策を講じていないサイトがいまだに57%もあるという。英NetCraftが5月9日、Heartbleedへの対応状況に関する報告書を発表した。
Heartbleedは暗号通信プロトコルSSLのHeartbeat機能に見つかった脆弱性だ。SSLは公開鍵と秘密鍵を利用することでWebサイトに安全性を提供する仕組みで、この脆弱性を悪用されると機密情報を不正に取得される可能性がある。OpenSSLはパッチを公開済みで、4月7日に公開された最新版へのアップデートが強く推奨されている。
NetCraftではHeartbleedへの対策として、「OpenSSLにパッチを当てる」「古い証明書の失効(revoke)処理」「新しい鍵を使って再発行」の3つが必要としているが、57%がこれらの対策を講じていないという。何らかの対策を講じた残り43%についても、3つの対策をすべて講じているところは14%という(下図のA)。
Heartbleed脆弱性に対し適切な対策を講じているところは14%(ゾーンA)、対策が適切ではないところは29%、57%はなんら対策を講じていないという(NetCraft調べ) |
新しい秘密鍵で証明書を発行しながら、古い証明書の失効処理を行わなかったサイトは21%、古い鍵を利用して証明書を発効したサイトも7%あった。古い鍵を利用して証明書を発効して、さらに古い証明書を失効していないという誤った対策を講じた5%のサイト(図中のB)は「最も危険なゾーン」としている。
NetCraftによると、SSL証明書の秘密鍵がシステムのメモリ内で保持されていることがあり、ここから情報を取得することができるため、古い鍵を利用して証明書を発効しても脆弱性は残るとしている。