Heartbleed脆弱性発表から1か月、現在も脆弱性の影響を受けるサーバーは30万件以上

OpenSSLの「Heartbleed」脆弱性の存在が明らかになってから1か月経過したが、現在も30万件以上のサーバーが脆弱性の影響を受ける状態にあるそうだ(Errata Securityブログの記事、Vivaldi.net blogの記事、International Business Timesの記事、本家/.)。

Errata Securityが先月実行したスキャンでは、Heartbeat拡張が有効と検出されたサーバーは100万件、パッチが当たっていたのは3分の1程度だったという。今回のスキャンではHeartbeat拡張が有効なサーバーは150万件に増加し、うち318,239件が脆弱性の影響を受けるバージョンだったとのこと。Heartbeat拡張を使用するサーバーの増加については、一時的な対処方法としてHeartbeat拡張を無効化していたが、更新により再度Heartbeat拡張が有効になったためと分析している。

一方、Opera Softwareの開発者は脆弱性の影響を受けるサーバーの減少が鈍っている一因として、脆弱性のあるサーバーを新規に導入してしまい、更新せずにそのまま使用している可能性を指摘している。中には以前は脆弱性の見られなかったIPアドレスで、新たに脆弱性が確認されるようになったものが2,500件程度あるといい、もともと脆弱性がなかったのにもかかわらず、「何か対処しなければ」というプレッシャーで脆弱性のあるサーバーに買い替えてしまったとみられるとのことだ。　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | バグ | インターネット | 暗号

　関連ストーリー：
OpenBSDがOpenSSLをフォーク、新プロジェクトは「LibreSSL」 2014年04月25日
三菱UFJニコス、OpenSSLの脆弱性を狙った攻撃を受けて会員情報が不正に閲覧される 2014年04月20日
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる 2014年04月17日
「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか 2014年04月17日
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない 2014年04月13日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日