OpenSSL の新たな脆弱性が明らかに: 「中間者」攻撃に利用される可能性がある

OpenSSL の新たな脆弱性が明らかに: 「中間者」攻撃に利用される可能性がある

北京時間6月6日朝のニュースによると、今週木曜日、OpenSSL Foundationは、10年前の脆弱性により、ハッカーがOpenSSLで暗号化されたトラフィックを使用して「中間者」攻撃を仕掛けられる可能性があるという警告を発した。

情報セキュリティの専門家は、OpenSSL 暗号化プロトコルの「Heartbleed」脆弱性を修正しようと引き続き取り組んでいます。 AVG Virus Labs によると、この脆弱性を持つ人気ドメインはまだ 12,000 あります。 OpenSSL Foundation が発表したニュースによると、ハッカーはこの新たな脆弱性を利用して暗号化されたトラフィックを傍受し、復号化してトラフィックの内容を読み取る可能性があるとのことです。

OpenSSL ユーザーには、新しいパッチをインストールし、OpenSSL ソフトウェアの最新バージョンにアップグレードすることをお勧めします。この脆弱性は、ソフトウェア会社Lepidumの日本人研究者菊地正志氏によって発見された。 「サーバーとクライアントの両方が脆弱な場合、攻撃者はハッキングして通信を偽装することができます」とLepidumのウェブサイトには記載されています。

サーバーが直接侵害される恐れがあった Heartbleed 脆弱性とは異なり、この新しい脆弱性では、通信する 2 台のコンピューターの間にハッカーが存在する必要があります。たとえば、空港の公共 WiFi のユーザーが標的になる可能性があります。

この脆弱性は、OpenSSL が 1998 年に初めてリリースされて以来存在しています。 「Heartbleed」脆弱性は、2011 年の新年に OpenSSL がアップグレードされたときに導入されました。

この脆弱性が 10 年以上も発見されなかったという事実は、OpenSSL 管理の欠陥を改めて浮き彫りにしています。 OpenSSL はオープン ソースなので、誰でも評価および更新できます。このため、OpenSSL は、単一の企業が開発した独自のコードよりも安全で信頼性が高いと考えられています。

しかし現実には、OpenSSL にはヨーロッパにフルタイムの開発者が 1 人、そして「コア」ボランティア プログラマーが 3 人いるだけで、その運営は年間 2,000 ドルの寄付金に依存している。ただし、OpenSSL は今でも世界中のほとんどの Web サイトのサーバーの暗号化に使用されており、Amazon や Cisco などの大手企業で広く使用されています。

Heartbleed の脆弱性が発見された後、Amazon、Cisco、Dell、Facebook、富士通、Google、IBM、Intel、Microsoft、NetApp、Rackspace、Qualcomm、VMware などの企業が、今後 3 年間にわたり、Core Infrastructure Initiative に年間 10 万ドルを投資することを約束しました。この新しいオープンソース プロジェクトは Linux Foundation が主導しており、OpenSSL などの主要なオープンソース インフラストラクチャをサポートするために使用されます。

元のタイトル: OpenSSL の新しい脆弱性が明らかに: 「中間者」攻撃に利用される可能性がある

キーワード: