オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に「Heartbleed」と呼ばれる重大な脆弱性が見つかった問題で、セキュリティコンサルティング企業のErrata Securityは6月21日、パッチが公開されてから2カ月以上たった今でも、脆弱性が放置されているサーバが30万台以上存在することが分かったと報告した。
Heartbleedの脆弱性は2014年4月に発覚し、修正のための更新版「OpenSSL 1.0.1g」が4月7日に公開された。Errataはこの時点で行った調査で、約60万台のサーバにこの脆弱性の存在を確認していた。
それから1カ月後の5月上旬に行った調査では約半数のサーバにパッチが適用され、脆弱性のあるサーバは約31万8239台に減少したことが判明。しかし、6月20日に再びスキャンして調べたところ、依然として30万9197台のサーバに脆弱性があることが分かった。これは443番ポートのみをスキャンした結果であり、その他のポートはチェックしていないという。
Errataはこの現状について、「人々はパッチを当てようと試みることさえやめてしまったらしい。今後は古いシステムの入れ替えに伴って徐々に減少するだろうが、今から10年たっても、まだ何千台ものシステムに脆弱性が存在し続けているだろう」と予想している。
関連記事
- OpenSSLの脆弱性、いまだに悪用可能なWebサイトが相当数存在
- OpenSSLにまた重大な脆弱性、直ちにパッチ適用を
- OpenSSL脆弱性対策の「致命的なミス」、秘密鍵を変更せず
- OpenSSLの脆弱性問題には冷静な対応を
- OpenSSLの脆弱性、影響は極めて重大——パスワードや秘密鍵の流出も
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.