OpenSSLの脆弱性「DROWN」、33%のサーバに影響

3月1日(米国時間)、Threatpostに掲載された記事「DROWN Flaw Opens 33 Percent Of HTTPS Connections To Attack｜Threatpost｜The first stop for security news」が、現存するHTTPSサーバの33%ほどがOpenSSLの脆弱性「DROWN」の影響を受ける可能性があると伝えた。OpenSSLプロジェクトからすでに修正版が公開されているほか、OpenSSLを使用しているさまざまなプロジェクトやベンダーからアップデート版が公開されているため、該当するプロダクトを使用している場合は迅速にアップデートを適用することが望まれる。

今回発表されたOpenSSLの脆弱性「DROWN」は、SSLv2プロトコルに存在している本質的に脆弱な部分が悪用されている。これは1990年代に米国政府が実施した暗号技術の輸出規制に関する要求に対処するために実装された、より弱いセッションキーを使った実装が導入されたことに大きな理由があるとされている。DROWNに限らず、当時米国政府が実施した暗号技術の輸出規制に関する実装が原因となる脆弱性はここ数年相次いで発見されている。

OpenSSLはHTTPS通信を実現するための実装として相当に広い範囲で使われている。このため、OpenSSLに発見される脆弱性は、そのままインターネットにおける安全な通信が損なわれるという危険性につながりやすいことから注目されている。

OpenSSLのセキュリティ強化の取り組みにつながるきっかけとなったHeartBleedはすでに発見されて2年ほどが経過しようとしているにもかかわらず、HeartBleedを抱えたOpenSSLは依然としてさまざまなシーンで使われていると推定されている。