PR

 インターネットセキュリティ分野における“史上最悪の脆弱性”とも言われるOpenSSLの「Heartbleed(心臓出血)」脆弱性。様々なメディアで大きく報じられた後、騒ぎはかなり収まったように見えるが、肝心な対策はどれくらい進んでいるのか。トレンドマイクロでセキュリティエバンジェリストを務める染谷征良氏に聞いた。

(聞き手は斉藤 栄太郎=日経SYSTEMS


写真●トレンドマイクロ マーケティング戦略部 コアテク・スレットマーケティング課 セキュリティエバンジェリストの染谷征良氏
[画像のクリックで拡大表示]

 2014年4月7日に公表されたOpenSSLのHeartbleed(心臓出血)脆弱性。きわめて単純な操作で痕跡を残さずにサーバーのメモリー情報を抜き出せるという事実に、衝撃を受けた人は多いだろう。インターネットを安全に利用するための土台を大きく揺るがすこの史上最悪の脆弱性発覚により、世界中にある多数のWebサイトやサービスが早急に対策を講じる必要に迫られた。

 対策の進捗状況を調べている会社の一つに、大手セキュリティベンダーのトレンドマイクロがある。同社では、米Amazon.com傘下のWeb利用データ調査会社である米Alexa Internetが提供する「トップ100万ドメイン名」に対してWebアクセスを実施。SSL(HTTPS)接続を利用するWebサイトの場合、脆弱性が存在する状態でサービスを提供しているかをチェックして集計している。

 トレンドマイクロは、これまでHeartbleed脆弱性の公表後間もない4月11日と、12日後の4月23日に調査したという。調査結果から何が分かったのか、同社セキュリティエバンジェリストの染谷征良氏に聞いた。

Heartbleed脆弱性に対する対策の進み具合は

 2回の調査結果から分かったのは、「かなりのペースで脆弱性対策が進んでいるものの、危険な状態のまま放置されているWebサイトもかなりの数残っている」ということだ。

 Alexaのトップ100万ドメイン名のうち、日本企業が国内向けにWebサイトやサービスを公開しているケースが多いと思われるJPドメイン名(.jp)に注目すると、4月11日時点ではHeartbleed脆弱性がある状態でSSL(HTTPS)によるアクセスを受け付けていたサイトの数は534だった()。これが23日には125にまで減った。

図●Heartbleed(心臓出血)脆弱性の影響を受けるWebサイト数の推移
Alexaが公開しているトップ100万ドメイン名のうち、OpenSSLの脆弱性(CVE-2014-0160)の影響を受けるサイトをトレンドマイクロが独自に調査したもの。2014年4月11日時点で、SSLを使用しているサイトのうちOpenSSLの脆弱性の影響を受けるサイトの割合が上位だったドメイン名に対して、4月23日に再度調査を実施した。
[画像のクリックで拡大表示]