ニュース

OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起

 警察庁は10日、OpenSSLの脆弱性を標的としたアクセスの増加が確認されたとして、OpenSSLを利用している組織などに対して、アップデートなどの適切な対応を行うよう呼び掛けた。

 この問題は、オープンソースのSSL/TLSライブラリ「OpenSSL」について、プロセスのメモリ内容が外部から取得され、秘密鍵などの情報が漏えいする可能性のある脆弱性(通称:Heartbleed)が明らかになったもの。

 4月8日には、脆弱性の有無を確認することが可能な攻撃コードが公開されており、警察庁の定点観測システムでも、9日以降、攻撃コードに実装されているClient Helloパケットと完全に一致するパケットを多数観測しているという。

攻撃コードに実装されているClient Helloパケットの宛先ポート別検知件数

 このことから、攻撃コードを使用して脆弱性が存在するサーバーなどの探索が実施されていると考えられると指摘。企業などに対して、脆弱性が存在するバージョンのOpenSSLを使用している製品が存在しないかを確認し、該当する場合にはアップデートを実施することを呼び掛けている。また、脆弱性が存在する状態でSSL証明書を外部に公開していた場合には、すでに秘密鍵が漏えいしている可能性があるため、現在使用している証明書を失効させ、再発行することを推奨している。

(三柳 英樹)