OpenSSLの“出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45％

　“Heartbleed”と呼ばれるバグによって、深刻な脆弱性が約2年にわたって存在していたことが発覚したオープンソースのSSL/TLSライブラリ「OpenSSL」。暗号化された通信の内容や秘密鍵などの情報を第三者が取得可能だったという脆弱性の公表とともに、OpenSSL Projectからは修正バージョンも公開されており、すでに対処済みのサイトもある。

　例えばGoogleでは、検索やGmail、YouTube、ウォレット、Google Play、Google Appsなどの主要サービスで、パッチを適用済みだと発表している。

　とはいえ、OpenSSLはさまざまなディストリビューションに含まれ、最も普及しているとされるSSL/TLS実装だけに、多くのHTTPSサイトがこれまで、Heartbleedバグを抱えながら運用されてきたことになる。

Heartbleedバグについては、Codenomicon社が開設したサイト「The Heartbleed Bug」を参照のこと

　Netcraftによると、OpenSSLを使用している主なサーバーソフトとしてはApacheやnginxがあるが、2014年4月現在、それらを使用しているアクティブなサイトの市場シェアは66％。ただし、それらのサイトすべてがHTTPSを使っているわけではなく、また、脆弱性の原因となっているOpenSSLの「Heartbeat」エクステンションを有効にしていたわけではないという。

　Netcraftの直近の調査によると、HTTPSサイトのうちの17.5％がバグを抱えたHeartbeatエクステンションを有効にしていたという。信頼できる認証局から発行されたSSL証明書のうち、実に約50万件が秘密鍵の漏えいなどにつながる危険な状態だったことになる。

　また、トレンドマイクロ株式会社によると、Alexaランキングの上位100万ドメインに含まれるサイトを対象にいくつかの国で調査したところ、現時点で約5％のサイトが今回の脆弱性の影響を受けることが分かったという。

　HTTPSを使っているサイトに限れば、全17万4336サイトのうち8632サイトが脆弱だったとしており、比率は30％となる。TLD別に見ると「.kr」「.jp」「.ru」「.cn」「.gov」という順で、脆弱なサイトの比率が高かった。例えば「.kr」では56％に上り、102サイトのうち57サイトが脆弱だったという。「.jp」は45％で、1195サイトのうちの534サイトが脆弱とされている。

　これに対して「.fr」が19％、「.in」が18％と低かったことから、トレンドマイクロでは、これらの国ではそもそも、脆弱性があるOpenSSLのバージョンがあまり使われていなかった可能性を指摘している。今回の脆弱性の影響を受けるOpenSSLのバージョンは「1.0.1」から「1.0.1f」まで、および「1.0.2-beta」から「1.0.2-beta1」までだが、それよりも古いバージョンではHeartbleedバグが含まれていない。

　トレンドマイクロによると、これらの国ではLinuxの最新バージョンを使用するサーバーが比較的少ないため、OpenSSLも最新バージョンではなかった可能性があるわけだ。もちろん、今回の脆弱性が公表された後、直ちに修正バージョン「1.0.1g」の適用が進んだとの仮説も考えられるとしている。

トレンドマイクロが調査した脆弱なHTTPSサイトの割合（トレンドマイクロ公式ブログより画像転載）

　図書館検索サービスを手がける株式会社カーリルでは、SSLは図書館のサイトでも予約受付などに多く使われているとし、カーリルの連携先の図書館システムを対象に簡易的な検査を実施したという。調査対象3500ホストのうち、4月9日16時の時点で150ホストで脆弱性が検出されたとしており、図書館システムの担当者に対処を呼び掛けている。

　株式会社シマンテックでは、Heartbleedバグによる脆弱性が見つかったことを受けて、HTTPSを使ったサービスの運営者およびエンドユーザーへの注意事項をまとめている。

　運営者はまず、使っているOpenSSLが脆弱性のあるバージョンだった場合は、修正バージョンに更新するか、Heartbeatエクステンションを無効化した上で再コンパイルする必要がある。また、「この攻撃を行っても、秘密鍵を盗み出すのはきわめて難しいと考えられる」とシマンテックでは指摘している一方で、そうした最悪の可能性も考慮し、SSLサーバー証明書の再発行を認証局に依頼するよう求めている。さらにエンドユーザーのパスワードをリセットすることも検討する必要があるとしている。

　エンドユーザーに向けては、利用しているサービスが脆弱性のあるOpenSSLを使用していた場合、データが第三者に盗み見られた可能性があると説明。サービスプロバイダーからパスワードを変更するよう連絡があった場合は、指示に従ってパスワードを変更するよう案内している。ただし、この脆弱性に便乗したフィッシングメールが出回ることも考えられるため、パスワードを変更する場合は、正規サイトのドメイン名を確認した上で、偽サイトにアクセスしてしまわないよう注意を呼び掛けている。

　シマンテックが公開している「SSL Toolbox」の「Certificate Checker」では、サイトのドメイン名を入力することで、今回の脆弱性の有無がチェックできるようになっている。