オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に極めて深刻な脆弱性が見つかった問題で、影響を受ける企業が緊急対応に乗り出している。この脆弱性を悪用されるとパスワードや秘密鍵などの情報が流出する恐れがあり、攻撃を受けたとしても痕跡は残らない。
Googleは米国時間の9日までに、検索サービスやGmail、YouTube、Wallet、Play、Apps、App Engineなどの主要サービスで問題を修正したと発表した。ChromeとChrome OSは影響を受けないという。
Google Cloud PlatformやGoogle Search Appliance(GSA)については現在対応中。Google Compute Engineの顧客は各インスタンスについてOpenSSLを手作業で更新するか、既存のイメージを更新版のOpenSSLを含むバージョンに入れ替える必要がある。
Androidはバージョン4.1.1が影響を受け、パッチに関する情報をパートナー各社に提供している。それ以外のバージョンは影響を受けないという。
MozillaはPersonaとFirefox Account(FxA)が影響を受けることを明らかにした。両サービスともサーバの大部分をAmazon Web Services(AWS)で運用しているという。Mozillaは全プロダクションサービスのTLS鍵を生成し直し、流出した可能性のある鍵や証明書を失効させる措置を取った。
AWSはElastic Load Balancing、Amazon EC2、AWS OpsWorks、AWS Elastic Beanstalk、Amazon CloudFrontの各サービスが影響を受けるといい、顧客側にもSSL証明書の入れ替えなどの対応を促している。これ以外のサービスは影響を受けないか、顧客側の行動を必要としない対策を講じたとしている。
米SANS Internet Storm Centerによると、この他にもRed HatやUbuntuなどの主要Linuxディストリビューションや、Cisco、Juniper、Novellといった各社が対応状況を公開している。
AppleのOS X Mavericks(10.9)のデフォルトのOpenSSLは、脆弱性が存在しないバージョン0.9.8だという。ただしMacPortsを使っている場合は、脆弱性のあるOpenSSL 1.0.1がインストールされており、対応を必要とする。
●対応状況を公開している主要ベンダー(SANS Internet Storm Centerより)
・CACert
・Cisco Systems
・Fortinet
・Gentoo Linux
・Juniper Networks(要ログイン)
・Juniper Networks
・F5 Networks
・Novell
・OpenVPN
・Aruba Networks
・Check Point Software Technologies
・OpenSSL
・Red hat
・Slackware
・WatchGuard Technologies
・Openvpn client(SparkLabs)
・Viscosity(SparkLabs)
SANSによれば、脆弱性のあるシステムをリモートでスキャンするためのコンセプト実証コードも出現した。実際に探る動きも活発になっていることから、対応を急ぐ必要があるとアドバイスしている。
