セキュリティ情報
NetCraft、Heartbleed脆弱性に対するWebサーバの対策状況を発表、半分以上が未対策
NetCraftは5月9日(現地時間)、インターネット上のWebサイトで、OpenSSLに存在したHeartbleeed脆弱性に対する対策の現状を調査し、発表した。半分以上のWebサーバが未対策のままだという。
NetCraftによると、Heartbleedへの対策として、「1.OpenSSLの脆弱性を解消する」「2.古い証明書を失効させる」「3.新しい鍵を使って証明書を再発行する」の、3つの作業を適切な手順で行う必要があるとしている。SSL証明書の秘密鍵がメモリに残っているケースがあるため、今回のHeartbleed脆弱性に対しては3つの対策を必要とする。しかし、この3つの対策を行っているWebサイトは全体の14%で、57%のWebサーバは対策を行っていないとしている。
古い証明書を失効させていないサーバは21%、古い鍵のまま証明書を発行しているサーバは7%。また、古い鍵のまま証明書を発行し、さらに古い証明書を失効していないという、もっとも危険なケースのサーバも5%あるという。
(川原 龍人/びぎねっと)
[関連リンク]
リリースアナウンス