人気サイトは“Heartbleed”パッチ済み、ただし以前に漏れた可能性も

　オープンソースのSSL/TLSライブラリ「OpenSSL」の“Heartbleed”脆弱性を修正するセキュリティパッチの適用状況について、米Symantecが12日付の同社公式ブログで報告している。最も多く使われている人気サイトではすでにパッチ適用済みであり、この脆弱性への対処は行われているというが、パッチ適用前に情報が漏れた可能もあるとしている。

　この脆弱性は、OpenSSLを実行中のシステムでプロセスのメモリ内容が外部から取得され、暗号化されて保護されているはずの通信内容やユーザー名・パスワード、秘密鍵などの情報が漏えいする可能性があったというもの。OpenSSLの「Heatbeatエクステンション」のバグが原因で、約2年にわたって存在していたことが先週、公になった。

　Symantecがこれまでにトラッキング調査してきたところによると、Alexaランキングでトップ1000のサイトにおいてはHeartbleedの脆弱性があるサイトは1つもなく、トップ5000サイトまでだと24サイトに脆弱性があった。また、トップ5万サイトで脆弱性があったのはわずか1.8％だったとしている。この結果からSymantecでは、平均的なユーザーが最も多く訪問するサイトは、現在では、Heartbleed脆弱性の影響を受けないとみられるとしている。

　しかし、パッチが適用される前に情報が取得されている可能性もあるとして、その被害を緩和するためにも複数サイトでのパスワード使い回しをしてはならないとしている。

　Symantecでは「ユーザーはパスワードを変更すべき」との考えだ。Heartbleedの脆弱性では、変更した新しいパスワードも外部に漏えいしてしまう可能性があるため、パスワードを変更すべきかどうかについてやや矛盾した情報があったというが、Symantecでは今回の人気サイトの調査から、現在ではほとんどのオンラインアカウントを変更するのは安全だとしている。

　もちろん、Heartbleedの脆弱性をまだ修正していないサイトでは、今すぐにはパスワードは変更しないこととしている。Symantecがウェブで公開している「SSL Toolbox」では、「Certificate Checker」にサイトのドメイン名を入力することで、そのサイトにHeartbleedの脆弱性があるかどうかチェックできるようになっている。

　引き続きSymantecでは、Heartbleedに対する事業者向けの注意事項を紹介している。

• OpenSSLのバージョン「1.0.1」から「1.0.1f」までを使っている場合は、最新の修正バージョン「1.0.1g」にアップデートするか、Heartbeat拡張機能を無効化してOpenSSLを再コンパイルすること。
• OpenSSLの修正バージョンへアップデートした後、SSLサーバ－証明書の再発行も行うこと。
• 侵入を受けたサーバーのメモリからエンドユーザーのパスワードが漏えいした可能性を考慮し、ベストプラクティス（基本的なセキュリティ対策）として、エンドユーザーのパスワードをリセットすることも検討すること。

　また、引き続きエンドユーザーに対する注意事項も挙げている。

• 脆弱性があったサービスプロバイダーを使用していた場合は、ユーザーのデータが第三者に盗み見られた可能性があることに留意すること。
• 利用しているベンダーからの通知を見逃さないようにし、脆弱性のあったベンダーからパスワードを変更するよう連絡があった場合には、指示に従うこと。
• パスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性も考慮し、正規サイトのドメインを確認し、偽サイトにアクセスしないように注意すること。

脆弱サイトのスキャンは、大部分が研究者によるもの？

　Symantecでは、Heartbleedの問題は深刻だとしながらも、終末的なシナリオは考えにくいとみている。同社がすでに公式ブログで言及しているように、実際には秘密鍵のデータを取得するのは非常に難しいというのだ。Heartbleedの脆弱性を使って秘密鍵を取得することに成功したという研究者もあるが、特定の環境が必要になるとSymantecでは指摘している。

　また、Symantecのモニタリングからは、Heartbleedの脆弱性があるサイトをスキャンする動きは広く確認されているが、大部分が研究者によるものとみられるという。攻撃者によるスキャンもあるが、それは特定サイトを狙ったものであり、人気サイトはすでにこの脆弱性の影響は受けないと繰り返している。