ニュース

“Heartbleed”脆弱性、秘密鍵を変更しない誤った対策のサイトが多数存在

 英Netcraftは9日、OpenSSLに発見された脆弱性“Heartbleed”への対応として、SSLサーバー証明書の再発行と古い証明書の失効を行っているものの、盗まれた可能性のある古い秘密鍵をそのまま使用しているという重要なミスを犯しているサイトが多く見られるとして、注意を喚起した。

 Netcraftによると、Heartbleed脆弱性の影響を受けたサイトのうち、43%がSSLサーバー証明書の再発行を行っているが、古い証明書を失効させ、新しい秘密鍵を使用するという正しい手順の対策を行っているサイトは全体の14%しかなかったという。

 サイト全体の5%は、SSLサーバー証明書の再発行と古い証明書の失効は行っているが、秘密鍵を更新していない。Heartbleed脆弱性が公表された4月7日以降、3万件以上の証明書が、秘密鍵を変更することなく、証明書の再発行と失効が行われているという。

 Netcraftでは、こうした不十分な対応では、依然として攻撃に悪用される可能性があるだけでなく、管理者が「必要な対策はすべて行った」と考えている可能性もあり、最も危険だと指摘。また、全体の2%は、同じ秘密鍵を使用し、古いSSL証明書の再発行も行っていないという。

 カナダ歳入庁では実際にHeartbleed脆弱性による被害が発生しているが、カナダ政府のいくつかのサイトでも古い秘密鍵を使い続けるミスを犯しているという。こうした間違いは、同じ証明書を使用していないかを認証局でチェックすれば防げるが、多くの認証局では採用していないと指摘。Netcraftが提供しているサイトレポートやブラウザー拡張を使うことで、この問題を確認できるとしている。

(三柳 英樹)