有料会員限定記事 現在はどなたでも閲覧可能です
Heartbleedを含む複数の脆弱性を残したまま運用
SSL Server Testは、TLS/SSLに関連するWebサーバーの脆弱性の有無を調べられる無料のサービス。調べたいWebサーバーのURLを入力するだけで、脆弱性があるかどうかを誰でも確認できる。
その診断結果によれば、被害を受けたWebサーバーのOpenSSLにはHeartbleedのほかに、2014年に見つかった「Change Cipher Specメッセージの脆弱性(CVE-2014-0224)」や、2016年に見つかった「パディングオラクル攻撃の脆弱性(CVE-2016-2107)」などの脆弱性が存在することがわかった。また、POODLE対策が施されていないこと(SSL 3.0が無効にされていないこと)もわかった。
A-Web倶楽部のWebサーバーでは4年前から、Heartbleedを含む複数の脆弱性を残したまま運用していた――。先の診断結果はこうした事実を示していることになる。この診断結果に対してメニコンは、「調査結果の精査が終わるまでコメントできない」(広報)としている。
また運用体制について、「(メニコンの)子会社であるダブリュ・アイ・システムが独自に運用していたサーバーで、メニコンは運用に関与していなかった。今後は子会社のシステム運用状況も把握し、再発を防止できるよう体制強化を図っていく」(同)と話す。
サーバー管理者はセキュリティ診断の実施を
A-Web倶楽部のWebサーバーのように、古い脆弱性を残したまま運用される事例は珍しくない。例えば2017年7月にも、Heartbleedを悪用された情報漏洩が明らかになっている。
このように、TLS/SSLの古い脆弱性を放置したまま運用を続けるWebサーバーは少なくない。一方でTLS/SSLは、個人情報を安全にやり取りするために欠かせない機能であって、多くの顧客がこの機能の有無でサービス提供者と安全に情報をやり取りできると判断している。
企業側は顧客の期待に応え、情報漏洩を引き起こさないためにも、サーバー管理者は定期的なセキュリティ診断が必要だ。コストがかかる作業だが、最初は今回利用したSSL Server Testのような無料のセキュリティ診断サービスを使うのでも構わない。サーバー管理者が脆弱性を見つける努力を怠ってはいけない。
