脆弱性「Heartbleed」を抱えるWebサイト、3分の2が対応済み

トレンドマイクロでは、2014年4月10日、Webサイト解析ツールなどを提供する「Alexa」が公開しているトップ 100万ドメインを調査し、OpenSSL に存在する脆弱性「Heartbleed」を抱えている Webサイトの件数を報告しました。今回は、4月23日現在の状況を報告します。

図1:脆弱性のある Webサイトの国別内訳(画像をクリックして拡大)
図1:脆弱性のある Webサイトの国別内訳(画像をクリックして拡大)

Heartbleed脆弱性を抱える Webサイトは、3分の2 が対応済みとなり、全体平均としては 10% 以下になりました。この全体平均を超えるトップレベルドメイン(TLD)は、「.BR(ブラジル)」、「.CN(中国)」および「.RU(ロシア)」の 3つです。

米国の連邦政府機関に割り当てられた「.GOV」は、この脆弱性に対して全件対応済みとなりました。「.AU(オーストラリア)」や「.UK(英国)」、「.DE(ドイツ)」、「.IN(インド)」も、脆弱性を含む Webサイトの割合は、全体平均よりもかなり低い値となっています。

Heartbleed脆弱性への対策としては、全体的に楽観できる数値となりました。多くのシステム管理者が警告に注意を向け、更新プログラムをサーバに適用しました。問題は、脆弱性を抱える残り 10% の Webサイトが迅速に更新されるかということでしょう。もしインターネットの重要な部分を放置することになれば、大きな危険性を残すことになります。

Heartbleed脆弱性に関して、トレンドマイクロでは脅威から保護するためのいくつかのツールを公開しています。Android端末用の「Trend Micro Heartbleed Detector App」は、脆弱性を抱えるアプリを検出し、アンインストールします。また、Google Chrome用の「Trend Micro OpenSSL Heartbleed Scanner App」は、指定した Webサイトが Heartbleed脆弱性を抱えるかどうかを確認します。さらに、「Trend Micro Heartbleed Detector Website」を利用することもできます。

参考記事:

  • Number of Sites Vulnerable to Heartbleed Plunges by Two-Thirds
    by Maxim Goncharov(Senior Threat Researcher)

    • 関連記事:

  • OpenSSL の HeartBleed脆弱性に対し、我々が注意すべきこととは?
     /archives/8964
  • バンドルされたOpenSSLライブラリ、モバイルアプリおよびAndroid4.1.1に脆弱性「Heartbleed」の影響を与えることを確認
     /archives/8961
  • 脆弱性「Heartbleed」、モバイルアプリにも影響
     /archives/8945
  • 脆弱性「Heartbleed」、トップ100万ドメインから選別されたTLDの5%に影響
     /archives/8929
  • 「OpenSSL」に深刻な脆弱性「Heartbleed」が発覚、拡張機能「Heartbeat」に存在
     /archives/8927
  • Trend Micro Heartbleed Detector Now Available(英語情報)
     http://blog.trendmicro.com/trendlabs-security-intelligence/heartbleed-detector-now-available/

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Apache Struts 2 の脆弱性を狙う PoC を確認
    2. 「Cryptography(暗号技術)」の現状について考える(前編):その脆弱さとHeartbleed脆弱性
    3. 「DOWNAD」:2014年第2四半期、最も多くスパムメールを送信した不正プログラムに
    4. SSL/TLS通信時の脆弱性「FREAK」、その影響度は?