ネットエージェント(株)は、このほど公開されたOpenSSLの脆弱性(Heartbleed脆弱性)の有無を、Web上から対象のホスト名を入力するだけで判別するサービスを無償にて提供開始した。
OpenSSLは、インターネットで標準的に利用される暗号通信プロトコルであるSSL/TLSを実装したオープンソースライブラリ。2014年4月7日に公開されたOpenSSLのHeartbleed脆弱性(CVE-2014-0160)はOpenSSL 1.0.1から1.0.1fまでのバージョンに存在する、OpenSSLが行うSSL/TLSの暗号化通信を行っている相手のメモリ情報を得ることが可能なセキュリティホールである。これにより暗号化に利用しているSSL証明書の秘密鍵が盗まれたり、過去の暗号化通信も解読される可能性がある。
また、この脆弱性に対する攻撃の記録が残らないため、攻撃されたかどうかをログによって確認する等の調査はできない。そのため、当該バージョンを利用してインターネット上に公開されているサイトは、すでに攻撃者に攻略されたであろうという前提で対応すべき、と同社では勧めている。
Heartbleed検査サービスのURLは以下の通り。
- Heartbleed脆弱性検査
- URL:http://ssl.white.hacker.jp/hb/hb?
フォームに対象のアドレスを入力すると検査結果が表示される。
このページには検査フォームの他、Heartbleed脆弱性の対応方法などがまとめられている。
- ネットエージェント(株)
- URL:http://www.netagent.co.jp/