写真提供:マイナビニュース

写真拡大

1月23日(米国時間)、Threatpostに掲載された記事「Heartbleed Persists on 200,000 Servers, Devices|Threatpost|The first stop for security news」が、調査した結果、依然として20万ほどのサーバおよびデバイスにOpenSSLの脆弱性であるHeartbleedが存在した状態にあると伝えた。当初危惧されていたように、Heartbleedは今後も長期にわたって存在し続ける可能性がある。

2014年4月、OpenSSLに通称「Heartbleed」と呼ばれる脆弱性が発見された。当時OpenSSLは、暗号化された通信を実現する基幹技術のデファクトスタンダードとして広く使われていた。その基幹となるソフトウェアに脆弱性が発見されたとあって、大きな話題を呼んだ。

以降、OpenSSLのソースコードを査読する動きがはじまり、OpenSSLが当時考えられていたほどセキュアなコードとは言えないとする評価が広がり、連続していくつもの脆弱性が発見される事態になっている。

影響を及ぼす範囲が広かったHeartbleedだが、当時、この脆弱性が修正されることのないまま長期にわたって残り続ける危険性が指摘されていた。OpenSSLの脆弱性を修正するパッチはすでに公開されているが、これらを適用せずに運用され続けるサーバが残り続けるだろうという推測に基づいたものだが、今回の調査で予測通りにアップデートされていないサーバが多数存在していることが明らかになった。

(後藤大地)