OpenSSL の Heartbleed 脆弱性が明らかになってから1か月あまり。だが、いまも多くの利用者がその危険に曝され続けている。

Heartbleed 脆弱性に対応していないシステムは、いまも30万台以上存在している
Heartbleed 脆弱性は、「CVE-2014-0160」として認識されているもの。データ通信で SSL 暗号化を提供する OpenSSL 暗号化ライブラリ内に発見された脆弱性だ。OpenSSL は4月7日にパッチをリリースしているが、すべてのユーザーがこのパッチをシステムに適用したわけではない。

OpenSSL は、サーバーと、Android スマートフォンを含む組み込みデバイスで広く採用されている。この Heartbleed から利用者を保護するには、パッチを適用するだけでなく、複数のステップを踏む必要がある。サーバー側では SSL サーバ証明書を再発行する必要があり、利用者側ではパスワードをリセットしなければならない。

セキュリティリサーチャーの Robert Graham 氏はインターネットをスキャンし、Heartbleed 向けのパッチが適用されていないシステムが、5月8日時点でも31万8,239件存在していることを発見した。

Graham 氏は、2,800万を超えるシステムをスキャンした。そのうち、パッチが適用されていないシステムは1.1%程度。こう考えると、リスクはさして大きくないようにも見える。だが、パッチが適用されていたとしても、システム管理者が SSL サーバー証明書を再発行していないケースがありうる。

Netcraft
が5月8日に公表した調査によれば、Heartbleed の影響を受けたサイトのうち、SSL 証明書を再発行していたのは、43%だったという。これは、いまも多くのサイトが、利用者を危険に曝していることを意味している。

Heartbleed の影響を受けたサイトの SSL 証明書再発行状況(出典:Netcraft)
Heartbleed の影響を受けたサイトの SSL 証明書再発行状況(出典:Netcraft)

困ったことに、再発行された SSL 証明書のうち7%は、以前と同じプライベートキーを使用しているというのだ。Netcraft は次のように説明している。

「同じプライベートキーを使用している場合、Heartbleed バグに影響を受けたサイトは、SSL 証明書を再発行してないのとまったく同じリスクに直面する。以前の証明書がセキュリティ侵害を受けていた場合、古い証明書が無効にされていたとしても、盗まれたプライベートキーを悪用して新しい SSL 証明書のなりすましが可能になるからだ」

多くの Web サイトは Heartbleed のパッチを適用してはいるが、そのすべてが正しい手法で SSL 証明書の再発行を実施しているわけではないということだ。

発覚から30日を過ぎてもいまだにセキュリティ懸念であり続けている Heartbleed は、今後数年とは言わないまでも、数か月はリスクであり続けるだろう。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。