インターネットセキュリティ分野における“史上最悪の脆弱性”とも言われるOpenSSLの「Heartbleed(心臓出血)」脆弱性。様々なメディアで大きく報じられた後、騒ぎはかなり収まったように見えるが、肝心な対策はどれくらい進んでいるのか。トレンドマイクロでセキュリティエバンジェリストを務める染谷征良氏に聞いた。
2014年4月7日に公表されたOpenSSLのHeartbleed(心臓出血)脆弱性。きわめて単純な操作で痕跡を残さずにサーバーのメモリー情報を抜き出せるという事実に、衝撃を受けた人は多いだろう。インターネットを安全に利用するための土台を大きく揺るがすこの史上最悪の脆弱性発覚により、世界中にある多数のWebサイトやサービスが早急に対策を講じる必要に迫られた。
対策の進捗状況を調べている会社の一つに、大手セキュリティベンダーのトレンドマイクロがある。同社では、米Amazon.com傘下のWeb利用データ調査会社である米Alexa Internetが提供する「トップ100万ドメイン名」に対してWebアクセスを実施。SSL(HTTPS)接続を利用するWebサイトの場合、脆弱性が存在する状態でサービスを提供しているかをチェックして集計している。
トレンドマイクロは、これまでHeartbleed脆弱性の公表後間もない4月11日と、12日後の4月23日に調査したという。調査結果から何が分かったのか、同社セキュリティエバンジェリストの染谷征良氏に聞いた。
Heartbleed脆弱性に対する対策の進み具合は
2回の調査結果から分かったのは、「かなりのペースで脆弱性対策が進んでいるものの、危険な状態のまま放置されているWebサイトもかなりの数残っている」ということだ。
Alexaのトップ100万ドメイン名のうち、日本企業が国内向けにWebサイトやサービスを公開しているケースが多いと思われるJPドメイン名(.jp)に注目すると、4月11日時点ではHeartbleed脆弱性がある状態でSSL(HTTPS)によるアクセスを受け付けていたサイトの数は534だった(図)。これが23日には125にまで減った。
