トレンドマイクロは、OpenSSL に存在する脆弱性「Heartbleed [1]」の影響を測定するため、Webサイト解析ツールなどを提供する「Alexa」が公開しているトップ 100万ドメインから、特定の国々のトップレベルドメイン(TLD)名を抽出しスキャニング調査しました。弊社は、SSL を使用する Webサイトを区別し、また「脆弱」もしくは「安全」に分類しました。このスキャニング調査により得られた情報から、いくつかの興味深い事実が明らかになりました。
2014年4月11日現在、脆弱性「CVE-2014-0160 [2]」の影響を受けた Webサイトが全体の約 5% であることを確認しています。脆弱性を抱える Webサイトの割合が最大の TDL は、「.KR」と「.JP」でした。興味深いことに、米国の連邦政府機関のための TLD である「.GOV」を使う Webサイトは、図1 のリストの第 5位に順位を付けています。
 [3] |
一方、TLD「.FR」および「.IN」を使用する Webサイトで脆弱性を抱かえるものは、非常に少ない数でした。この理由について、弊社ではいくつかの説を考えました。これらの Webサイトは、脆弱性のあった OpenSSL のバージョンに更新していなかったのかもしれません。または、即座に脆弱性のある Webサイトにパッチを適用できたのかもしれません。他の考えられる理由は、これらの国々では、最新バージョンの Linux を使用しているサーバが比較的に少ないため、問題の脆弱性が存在しない古いバージョンの OpenSSL を使用していたというものです。
弊社は、選別された TLD を近日中に再びスキャニング調査を行い、起こり得る変化を監視していきます。その間、Webサイト管理者は、OpenSSL を更新し、自身のユーザを保護してください。
参考記事:
by Maxim Goncharov [5] (Senior Threat Researcher)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)