OpenSSL における「Heartbleed」脆弱性について詳細が判明してから 5 日が経過しました。その間に、シマンテックはこの脆弱性の影響度を調査するとともに、利用者の多い Web サイトのパッチ適用状態を追跡し、攻撃の監視を続けてきました。その結果判明した内容を以下にお伝えします。
利用者の多いサイトはすでに脆弱性に対応済み
シマンテックは、Heartbleed 脆弱性が残っている Web サイトを確認するために、利用者の多い Web サイトを追跡してきました。Alexa による上位 1,000 の Web サイトはすべて、この脆弱性に対応済みです。Alexa の上位 5,000 まで含めても、脆弱性を残している Web サイトは 24 件のみでした。Alexa の上位 50,000 の Web サイトすべてを対象にしても、Heartbleed に対して脆弱なのは 1.8% にすぎません。このデータを見たところ、一般的なユーザーが頻繁に利用する Web サイトは Heartbleed の影響を受けません。
とはいえ、各サイトが更新されるよりも前にデータを盗み出された可能性はあります。そのリスクを軽減するために、複数のサイトで同じパスワードを使い回さないようにしてください。
パスワードは変更すべき
ユーザーがパスワードを変更すべきかどうかについては、相反する情報が飛び交っています。シマンテックが上記の人気のある Web サイトを調べたかぎりでは、オンラインアカウントのほとんどはパスワードを変更したほうが安全と言えそうです。
少しでも不安がある場合のために、シマンテックは Web サイトが Heartbleed に対して脆弱かどうかを確認する以下のツールを提供しています。
万一 Web サイトに脆弱性が残っている場合、まだそのサイトのパスワードは変更しないでください。
問題は深刻だがインターネットの終わりというわけではない
Heartbleed を悪用すれば、攻撃者はユーザー名やパスワードなどの個人データを盗み出すことができます。しかも、比較的容易に行うことができます。しかし、最も大きな懸念点は、この脆弱性を悪用すると、Web サイトとの暗号通信に使われている秘密鍵を盗まれる恐れがあるということです。秘密鍵を手に入れれば、攻撃者は通信を傍受したり、正規の Web サイトに偽装した Web サイトを作成したりして、さらに多くのデータにアクセスできるようになります。以前のブログでお伝えしたように、秘密鍵を盗み出すのはきわめて困難です。Heartbleed を使って鍵を盗み出すことに成功した研究者もいますが、その場合でも特定の条件が満たされている必要があります。特に、鍵が漏洩する可能性が高いのは、Web サーバーの起動後の一瞬だけです。
Heartbleed は攻撃者にそれほど広く利用されてはいない
シマンテックの監視によると、脆弱な Web サイトに対するスキャンは広く行われていますが、そのスキャンのほとんどは研究者によるもののようです。Heartbleed 脆弱性に関して、攻撃者が実行している大量スキャンは比較的少数しか確認されていません。攻撃者は特定のサイトを標的にしている可能性もありますが、幸い人気のあるサイトは現時点で影響を受けていません。
攻撃の遮断には IPS が有効
シマンテックの IPS シグネチャ 27517「Attack: OpenSSL Heartbleed CVE-2014-0160 3」がリリースされたので、脆弱なサーバーに対して Heartbleed を悪用する試みは検出され遮断されます。
注意事項に変更はない
企業向け:
- OpenSSL 1.0.1 から 1.0.1f を使っている場合には、最新の修正版(1.0.1g)に更新するか、Heartbeat 拡張機能を使わずに OpenSSL を再コンパイルする必要があります。
- 修正版の OpenSSL への更新後、Web サーバーの「SSL サーバ証明書」を再発行する必要もあります。
- 基本的なセキュリティ対策(ベストプラクティス)として、侵入を受けたサーバーのメモリから漏えいした可能性を考慮し、エンドユーザーのパスワードをリセットすることも検討する必要があります。
消費者向け:
- 利用しているサービスプロバイダのサーバーが脆弱な場合は、データが第三者に盗み見られた可能性があります。
- 利用しているプロバイダからの通知を見逃さないようにしてください。脆弱性を確認したプロバイダからパスワードを変更するよう連絡があった場合には、指示に従ってパスワードを変更してください。
- たとえパスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性には注意し、公式サイトのドメインを確認したうえで、偽装された Web サイトにアクセスしないように気を付けてください。
最新情報
リスクを最小限に抑える方法なども含めて、Heartbleed に関する最新の情報については、Heartbleed の発生に関するシマンテックの以下のページを参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。