Netcraft - Internet Research, Anti-Phishing and PCI Security Services

インターネットサービス企業Netcraftは4月15日(英国時間)、「Heartbleed: Revoke! The time is nigh! |Netcraft」において、今回発見されたOpenSSLのセキュリティ脆弱性(通称Heartbleed)を利用して実際に秘密鍵を取得できたことなどを伝えた。SSL証明書などを再発行して現在使われているSSL証明書を更新することが推奨されている。

OpenSSLのセキュリティ脆弱性(Heartbleed)を使ったサイバー攻撃はまだそれほど悪用されていないと見られており、現在は主にセキュリティ研究者らの検証に使われていると考えられている。しかし、簡単に秘密鍵が取得できることが明らかになったことで、今後SSL経由での通信が安全には実施できないサーバが増加することが予想される。

SSL証明書をすべて新規で発行した場合、インターネット全体で巨額の予算が必要になることになるが、SSL証明書を発行している認証局はSSL証明書の再発行を無料または低い価格で提供しており、予算的な問題が発生するケースは少ないものとみられる。SSL証明書を使ったサーバを運用している場合には、SSL証明書を再発行してこれまで使っていた証明書と入れ替えることが推奨される。