ネットエージェントは10日、米国時間4月7日に判明したOpenSSLのHeartbleed脆弱性(CVE-2014-0160)の有無を手軽にチェックできるWebサービス「Heartbleed検査サービス」を無償公開した。なお、検査結果のログは記録されない。
|
Heartbleed検査サービス(ネットエージェントWebサイトより) |
OpenSSLは、サーバ管理者やWebサイト統括者がトランザクション処理を安全に行うためのオープンソースのプログラム。インターネット上で利用される暗号通信プロトコルSSL/TLSの機能を実装し、Googleや米Yahooなど幅広いWebサイトで使用されている(いずれも脆弱性には対応済みと表明)。
「Heartbleed検査サービス」は、Webサイトのホスト名を入力することで、Heartbleed脆弱性の有無をチェックできるサービス。OpenSSLは2011年にHeartbleedという拡張機能を導入し、バージョン1.0.1として公開した。このHeartbleedに脆弱性が存在し、これを悪用するとSSL通信用の暗号化キーを使用して、攻撃の痕跡をPC側に残さずに攻撃先PCのメモリから64KBの情報を1度に読み出すことができる。既に一部サイトでユーザーIDやパスワード情報の漏えいも確認されている。
対応バージョンはOpenSSLの1.0.1から1.0.1fまでのバージョン。同社では、Heartbleed脆弱性では攻撃の有無をPCのログで判断できないため、「安全面から当該バージョンを利用してインターネットに公開していた場合は例外なく、攻撃者に攻略されたであろうという前提で対応すべき」としている。
