ブリーディング・ハート」と呼ばれるOpenSSLの脆弱性は、セキュリティ市場全体に衝撃を与え、今やその影響は理論上の危険性を超えています。
週末、マムズネットのウェブサイトは、全ユーザーのログインを強制的にリセットすることを決定しましたが、マムズネットは、Heartbleed脆弱性の悪用が悪意のある目的に利用されていることを確認していません。
攻撃者がこの脆弱性を悪用すると、アカウント、閲覧履歴、個人情報、登録情報などにログインできるようになりますが、ユーザーのアカウント情報が悪意のある目的に使用されたという証拠はなく、マムズネットのウェブサイトのどのユーザーがこの脆弱性の影響を受けたかは定かではありません」とマムズネット。最悪の場合、攻撃者はマムズネットのウェブサイトの全ユーザーのアカウントデータにアクセスしています。このため、すべてのユーザーにパスワードの再設定を求めています。"
これとは別に、カナダ歳入庁は声明の中で、Heartbleedの抜け穴が悪用され、約900人の納税者の社会保障番号がシステムから削除されたと述べています。実際、CRAはHeartbleedの脆弱性を知った後、オンライン納税申告サービスを一時停止しましたが、それでも遅かったのです。
CRAは、Heartbleedの脆弱性に対するパッチを適用し、システムのセキュリティをテストした後、日曜日にオンラインサービスを再開しましたが、CRAは、脆弱性にパッチを適用する作業は継続すると述べています。
その他のデータ情報については現在分析中であり、同事業に関連するデータも削除された可能性があります」とCRAは述べています。厳格な管理にもかかわらず、OpenSSLの脆弱性の影響を受けた多くの企業の1つでしたが、ありがたいことに、サービス・シェアリング・カナダと他のセキュリティ・パートナーの支援により、システムは復旧し、他のデータがさらに漏洩することはありませんでした。さらに、現在までに分析されたデータによると、他のCRA機関のデータ漏洩は発生していません。"
これらのHeartbleedの悪用は、攻撃者が機密情報を収集する能力を示すのに十分ですが、この脆弱性にはもう一つ致命的な問題があります。
CloudFlare とアカマイが Heartbleed 脆弱性の複雑さを発見
両セキュリティベンダーは、Heartbleed脆弱性問題の深刻さに気づいており、セキュリティ専門家の間では、Heartbleed脆弱性はインターネットがこれまでに経験したことのないほど広範囲に及ぶ脆弱性の1つであるとの声が高まっています。
サンフランシスコを拠点とするコンテンツ・デリバリー・ネットワーク企業 CloudFlare は、先週のブログ投稿で、特に Nginx サーバーにおいて重要なデータ漏えいにつながる Heartbleed 脆弱性の傾向を緩和するため、以前の情報開示に基づき OpenSSL のバージョンにパッチを適用しました。
CloudFlareのNick Sullivanは、「ソフトウェアスタックの厳密なテストを通じて、攻撃者がHeartbleedの脆弱性を悪用してサーバーから重要なデータを盗むことは不可能になりました。
このテストを行うため、CloudFlareは同社のNginxサーバーに脆弱なバージョンのOpenSSLを設定し、挑戦者がHeartbleedを使ってサーバーから鍵を盗むことができるようにするチャレンジを開催しました。チャレンジ開始から9時間後、ロシアのソフトウェア・エンジニアであるFedor Indutny氏がタスクを完了しましたが、250万回以上のハートビート・リクエストを送信する必要がありました。Indutny氏のすぐ後ろには、フィンランドの情報セキュリティ・コンサルタントであるIlkka Mattila氏がいましたが、こちらも10万件のリクエストを送信する必要がありました。
Indutny氏はその後、Heartbleed脆弱性を悪用するための抽出スクリプトを自身のブログに掲載し、脆弱性が直ちに深刻な結果をもたらすものではないと指摘しました。脆弱性が悪用されるまでに時間がかかったにもかかわらず、CloudFlareはチャレンジの結果に基づき、管理ユーザーのSSLキーを交換する措置を適時に講じました。
CloudFlareによると、"その報告書の結果に基づき、すべてのユーザーが鍵を再発行または失効させることを推奨します "とのことです。
さらにアカマイは、Heartbleed 脆弱性の脅威からお客様を守るため、週末にリリースしたパッチを取り下げました。
ケンブリッジのベンダーは、Heartbleed 脆弱性の深刻さを認識し、SSL キーの侵害を防ぐためのメモリ割り当てツールをリリースしました。しかし日曜日の夜、アカマイの最高セキュリティ責任者であるアンディ・エリスは、セキュリティ研究者のウィレム・ピンカーズがアカマイに連絡し、Heartbleed の修正に脆弱性があることを報告したとブログで報告しています。
エリス氏は、「その結果、全ユーザーのSSLキー/認証の処理が始まりました。非常に迅速に処理できる認証もありますが、認証局による追加認証が必要な認証もあり、時間がかかる場合もあります。
