Heartbleed脆弱性発表から1か月、現在も脆弱性の影響を受けるサーバーは30万件以上 50
ストーリー by headless
追加 部門より
追加 部門より
OpenSSLの「Heartbleed」脆弱性の存在が明らかになってから1か月経過したが、現在も30万件以上のサーバーが脆弱性の影響を受ける状態にあるそうだ(Errata Securityブログの記事、
Vivaldi.net blogの記事、
International Business Timesの記事、
本家/.)。
Errata Securityが先月実行したスキャンでは、Heartbeat拡張が有効と検出されたサーバーは100万件、パッチが当たっていたのは3分の1程度だったという。今回のスキャンではHeartbeat拡張が有効なサーバーは150万件に増加し、うち318,239件が脆弱性の影響を受けるバージョンだったとのこと。Heartbeat拡張を使用するサーバーの増加については、一時的な対処方法としてHeartbeat拡張を無効化していたが、更新により再度Heartbeat拡張が有効になったためと分析している。
一方、Opera Softwareの開発者は脆弱性の影響を受けるサーバーの減少が鈍っている一因として、脆弱性のあるサーバーを新規に導入してしまい、更新せずにそのまま使用している可能性を指摘している。中には以前は脆弱性の見られなかったIPアドレスで、新たに脆弱性が確認されるようになったものが2,500件程度あるといい、もともと脆弱性がなかったのにもかかわらず、「何か対処しなければ」というプレッシャーで脆弱性のあるサーバーに買い替えてしまったとみられるとのことだ。
Errata Securityが先月実行したスキャンでは、Heartbeat拡張が有効と検出されたサーバーは100万件、パッチが当たっていたのは3分の1程度だったという。今回のスキャンではHeartbeat拡張が有効なサーバーは150万件に増加し、うち318,239件が脆弱性の影響を受けるバージョンだったとのこと。Heartbeat拡張を使用するサーバーの増加については、一時的な対処方法としてHeartbeat拡張を無効化していたが、更新により再度Heartbeat拡張が有効になったためと分析している。
一方、Opera Softwareの開発者は脆弱性の影響を受けるサーバーの減少が鈍っている一因として、脆弱性のあるサーバーを新規に導入してしまい、更新せずにそのまま使用している可能性を指摘している。中には以前は脆弱性の見られなかったIPアドレスで、新たに脆弱性が確認されるようになったものが2,500件程度あるといい、もともと脆弱性がなかったのにもかかわらず、「何か対処しなければ」というプレッシャーで脆弱性のあるサーバーに買い替えてしまったとみられるとのことだ。
大抵のユーザーが気にしてるのは値段だけ (スコア:1)
無料かくにん
よかった♡
Re: (スコア:0)
さすがにもうイジメ臭が漂い始めてフォローも付きませんね…。
Re:大抵のユーザーが気にしてるのは値段だけ (スコア:1)
くすっと笑っちゃったけど、笑ってるところを見られたらちょっと言い訳をしないといけないような雰囲気を感じてしまって……。
LIVE-GON(リベゴン)
日本は余計にだろうな (スコア:1)
顧客側:
部下「上司、うちが使ってるサーバに脆弱性があるようなんですが、未だに放置されてるんですよ。どうします?」
上司「放っとけ。なにかあっても業社の責任だ。余計なことしてこっちに責任持って来られても困る。」
業社側:
部下「上司、うちが提供してる製品のひとつに脆弱性が発見されたそうです。このままにしておくと、その所為で賠償金が発生するかもしれません。」
上司「放っとけ。ノータイムで終わるならまだしも、ちょっとでもダウンタイムが発生してみろ? そっちの方が金かかる。向こうが何か言って来たら、そことだけ、今言ったことを納得させた上で対応してやれ。何も言われてないのにこっちから余計なことするな。そもそも被害被るのは向こうの顧客だけだからな、うちに直接関係あるわけじゃない。」
責任のなすりあいと、何如に無責任でいられるかだけを重要視する社会。
これが日本の現実。
政治家とその関係者や、電力会社の関係者や、マスコミ関係者の対応が良い例ですね(笑)
Re: (スコア:0)
むしろそうじゃない社会とか国ってあるんですかね
Re: (スコア:0)
学生が社会の汚さを目にすると、とりあえず何でも「日本固有の悪習」と吐き捨てます。
Re:日本は余計にだろうな (スコア:1)
妙に納得してしまったが、こういう達観は高二病とかその類なのかと慎重な気持ちに。
LIVE-GON(リベゴン)
Re: (スコア:0)
学生が社会の汚さを目にすると、とりあえず何でも中韓と比べて安心します。
# 昔は他の先進国と比べていたはずなのに。
Re: (スコア:0)
下ばかり見てると
空の青さも忘れてしまうよ
Re: (スコア:0)
フィッシングメールのURLからWordpressがなくならないわけだわ。金にまかせて外部に投げたら、本当はそこでおしまいなんだな。
Re: (スコア:0)
日本固有の問題で言うと、「間違いは起こらないし、起こってはならない」という前提から全ての物事が出発しているのが原因でしょうね。
このような状態になってしまった経緯はともかく、「何らかの間違いにより障害が発生したらどうするのか」(プログラミングでのtry-catchブロック)を、きちんと合意しておく必要があるんでしょう。
ドジッ娘鯖缶 (スコア:0)
最新版に更新したと思ったら一つ前に戻っていたとかポルナレフ。サポート終了したOSでyum updateとかやらかしてんじゃねえだろうなあ。
Re: (スコア:0)
「おれは OpenSSLのバージョンを上げたと思ったら いつの間にか下がっていた」
NSAの陰謀だとかパラメータのチェック漏れだとかそんなチャチなもんじゃあ断じてねえ
もっと恐ろしいものの片鱗を味わったぜ……
こっちスキャンすんなっ (スコア:0)
いつも不思議なんだが、公開しているサーバに無許可でスキャンを掛けるのはどうなの?
内容によるってのもあるでしょうが、本件のはスキャナがAndroidアプリになってどっかで紹介されたりしてたので、世間的にはOKなんだと自分は驚きました。
損害を与えなければ犯罪じゃないとしても、与えるかどうか事前には分からないですし、スキャン動作をアラートにしていた場合、技術者の対応が発生し、最悪の場合は、偽計業務妨害にもなりかねませんよね。
「被害無しのアタックは日常茶飯事なので無視」っていうノリが定着している会社/技術者が多いのも実感していますが、新参者の倫理観としては他人の機器に無断でスキャン掛けるのはNGかなと思っています。
# この前、脆弱性スキャナで業務サーバ落としちゃったのでACで(お前の功夫はそんな物かって言ったけど、めっちゃ怒られた)
Re:こっちスキャンすんなっ (スコア:1)
インターネットに公開されているウェブサイトに対し、
人間が対話的にアクセスするのと同じ程度のほどよい速度頻度で巡回ロボットが繋いでみて
特に掘り下げることなく取得可能であった情報を
統計的に解析してみることに何の問題がありましょうや?
それにアラートが上がったら即時緊急対応するため技術者を貼り付けるという体制と、
今回のような緊急対応が求められる重篤な脆弱性を放置するという状況は矛盾しませんか。
貴兄が従前属していた業界では抜き打ち検査というのは
「何日何時から抜き打ち検査をしますのでよろしくお願いします」
と事前連絡があるものだったのですか?
護衛船団方式横並びの某業界においてはそのような傾向であるとも耳にしますが。
#今回 Qualys SSL Labs で解析してついでに現代的に不要な古いプロトコル等も落として Forward Security も達成させました
Re: (スコア:0)
別に本件に限ったことではなく、内容によって線引きはあるかもしれませんが、一律問題無いと思いますか?
もし、スキャンがバージョンチェック程度で無く、メモリの内容読んでみて判断とかだったらどうですか?
抜き打ち検査が何を意図しているのか図りかねますが、WEB業界だとして、事前に打ち合わせも無くスキャンするのは意味無いですし、誰が何の目的でそんなことするんでしょう。
大抵の場合、検査のクライアントはサービスを運営する側ですし、ユーザが利用してる状態のサーバにスキャン掛けさせるなんて、よっぽどの事が無い限りやらないと思います。サービス停止やユーザに被害が出たら損失が大き過ぎますし。
私の認識では、スキャンを攻撃の初まりと捉えて、IPS等で検知次第、該当攻撃の調査、必要なら遮断や影響範囲の確認等、例え脆弱性が対策済みでもやる事はあると思います。
もっともこの問題の場合は、スキャンが大量そうなんでIPS側で一律遮断とかにするとは思いますが。
Re: (スコア:0)
実際にクラックしてみるのはスキャンとは言わないんで用語定義がおかしい。だから議論もちょっとずれてる。
どこからがクラックかと言う問題は不正アクセス禁止法にきちんと定義がされていて、判例もある。
また不正アクセス禁止法は故意犯のみで過失犯はないというのもポイント。業務妨害系も故意犯のみ。
>スキャンを攻撃の初まりと捉えて、IPS等で検知次第、該当攻撃の調査、必要なら遮断や影響範囲の確認等、例え脆弱性が対策済みでもやる事はある
これは理由にならない。
たとえば、街をあるいて目に見える範囲で情報収集している人を見て、不審人物だと騒いで警備員を雇ったとしてもそれは対策する側の勝手であり、ただ街を歩いている人に費用請求はできないし、その人が何を理由に行動しているか想像出来ないからと言って行動を制限できるはずもない。
Re: (スコア:0)
じつはむかし、岡崎市立中央図書館事件というのがあったんだ。
それ知っても同じ事言えるの?
Re: (スコア:0)
じゃあ被害届提出しろよww
岡崎の件は被害届が出されたからそういう対応になっただけだっつーの…
Re: (スコア:0)
あれは業者が図書館に納めたシステムが糞だった事が原因でクロールした側は冤罪だったんだが。
Re: (スコア:0)
お前こそ知ってんのか。あの件の特殊性を。
法律の条文を間違って解釈した特異な件、それも最終的には起訴猶予になり、
後に捜査がまずかったと散々指摘されている話を、一般論としては使うのは間違いだろうが。
これは酷い (スコア:0)
リモートからのスキャンでメモリまで読まれる方が悪い。ザルザルじゃねーか。
リモートからスキャン掛けられただけでシステムが落ちるかもとか、クオリティ低くて酷すぎ。
そして実態調査などいくらでも有意義勝つ合理的なやる理由はある。
つーか、IPSレベルで検知して対応で手間がかかってる時点でダメだし、その程度の
攻撃は挨拶代わりに常時食らってるもの。今更手間が増えるなんてほどじゃない。
sslの通信全部ISPで止めるとかアホすぎる。脆弱性があるかどうかは一度つなぐだけで解るし。
不正パケット投げてメモリの中身らしきものが帰ってくればそれで解る。攻撃なら有効な中身が
得られるまで繰り返す必要あるけどね。
まー、どんなところに就職したか知らないけど、その時代遅れの牧歌的サイバーノーガード意識は
とっとと捨てないとろくな技術者にはなれませんよ。
# 無許可リンク禁止に通じるマインドを感じるなぁ。
あたま悪い (スコア:0)
どんなところに就職したか知らないけど、法律は守れよ。
# 鍵がかかってない家なら侵入される方が悪いレベルのいい訳ですね。
Re: (スコア:0)
どんな田舎から……いやいや。
そりゃ鍵掛けてなきゃ掛けてない方『にも』問題はありますがな。
そこに見られてまずいものを置いちゃいけません。
法律云々に関しては私は詳しくありませんが #2597981 が結論だと思います。
# どっかで作業しないと……
Re: (スコア:0)
全く結論じゃねーよ。
たとえば、街をあるいて目に見える範囲で情報収集している人を見て、不審人物だと騒いで警備員を雇ったとしてもそれは対策する側の勝手であり、ただ街を歩いている人に費用請求はできないし、その人が何を理由に行動しているか想像出来ないからと言って行動を制限できるはずもない。
今回の問題は不審人物ってレベルじゃないぞ。この脆弱性があるか確かめるには実際に攻撃して情報を抜き取ってみるしか確かめる方法がない。例えるなら実際にスリができるか財布を抜き取ってみて、財布は返すから問題ないって言ってるようなもの。こんなの許すってのは攻撃が合法って言ってるようなものだ。#2598074の言うろくな技術者ってのが何を指すのか分からんが、もう少し外に出てみろよ。
Re: (スコア:0)
ちなみに、何の法律に触れるとお考えなんでしょうか?
不正アクセス防止法?
でも、パスワードをクラックしているわけじゃないし
アクセス制御機能の回避には当たらないですよね?
そもそも、アクセス制御されてないわけですし・・・ね
Re: (スコア:0)
なぜ不正アクセス禁止法が関係ないと思ったのか。
不正アクセス「防止」法なんて言うくらいだから、分かってないんだろうな。
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
秘密鍵や他ユーザのパスワードなどオープンでない情報を不正に漏洩させる指令を送信しているってのはアクセス制御機能の回避じゃないのかい?
Re: (スコア:0)
ちゃんと対応していれば
>不正に漏洩させる指令を送信している
ことにはならないんじゃないの?
対応してないのであれば自衛のためにも知っておきたいというのがユーザーの心理だと思う。
今回の件だとメモリに残さないために対応が確認できるまでログインしないとか。
Re: (スコア:0)
ちゃんと対応していれば
>不正に漏洩させる指令を送信している
ことにはならないんじゃないの?
何言ってんだか。
Re: (スコア:0)
いやだから、「秘密鍵や他ユーザのパスワードなどオープンでない情報」がパスワード等で守られていないので、アクセス制御機能に該当しないでしょって話なんですが・・・
Re: (スコア:0)
秘密鍵はパスワードで守られていない?
わざと言ってるんじゃなければ救いようがない大馬鹿者だな。
お前が現実世界で技術者を名乗っていないことを祈るよ。
SSHなりコンソールなりでログインしなければ取得し得ない情報じゃないのか?
お前のサーバの秘密鍵は公開情報か?
それとも脆弱性が存在すれば取得できるから公開情報と言ってるのか?
Re: (スコア:0)
何をそんなに怒っているのか・・・
そもそも、SSLで守っているものが流出しているのではないのですが・・・
あなたの秘密鍵は公開されててSSLで守られているの?
運用見直したほうがいいんじゃね?
公開されていない場所に保管しておくでしょ
それが公開されちゃっていますよと。
そして、国外から抜き取られてますよと
だからさっさと、対処しろと周知するのは当然でしょーに
パッチあてたくない管理者なの?
注意喚起されると困る人なの?
ぼくだったらあなたが管理するシステムは使いたくないな
サイバーノーガード万歳
実態把握はなくてオッケー
パッチ適用しない(秘密鍵変更しない)
ですむわけなかろうに・・・
さあ、こんなところで油売ってないでさっさとパッチを当てる作業に戻るんだ!
Re: (スコア:0)
IT 弁護士「Heartbleed の診断チェックは違法に当たるだろう」~倫理的に行動し、最大 10 年の刑務所生活を勝ち取ろう(The Register)
http://scan.netsecurity.ne.jp/article/2014/04/18/34016.html [netsecurity.ne.jp]
お前がどんなに屁理屈こねようが世間には通用しないんだが、ひきこもり自称エンジニアにはそれが分からんのだろうな。だからもっと外に出て常識を身につけろと。
Re: (スコア:0)
そんなライターよりもSymantecが詳しく解説してくれてますよ。
http://www.symantec.com/content/ja/jp/enterprise/images/outbreak/Heart... [symantec.com]
消費者は利用するサイトをスキャンするようすすめてますね。
http://safeweb.norton.com/heartbleed [norton.com]
TRENDMICROもこんなブログ書いちゃってますよ。
http://blog.trendmicro.co.jp/archives/8927 [trendmicro.co.jp]
日本の企業でも、京都府警から感謝状もらってるような企業がこんなサイト作ってますよ。
http://ssl.white.hacker.jp/hb/hb [hacker.jp]?
他にもたくさん・・・。
これだけ大々的にやってるわ
Re: (スコア:0)
不正アクセス禁止法言ってる時点で今回の問題を理解してないんだからほっとけよ
Re: (スコア:0)
でも実際クオリティ高いサーバって見た事ないんだけど、具体的にどこがクオリティ高い?
絶対にやられないサーバがあるのなら、是非それで商売したら良いですよ。
確実に歴史に名を残せます。
元コメでは対策済みって言ってるので、要するに「うざいからやめろ」って言う事なんじゃ無いかと思うんだけど、それは言ってはいかんのかな。
イメージ的には、鍵あいてるかをドアをガチャガチャして確認される感じで、国によってはそういうのは日常茶飯事なのかもしれないけど、日本にいるとどうしても「ガチャガチャすんなっ」て怒鳴りたくなるよね。
こういう業者のスキャン元IPアドレスって、どっかでまとめてリストにしてくれたら嬉しいのにね。
それをFirewallにぶち込んどくと、意外と静かになったりして。
# IPSとISPは違う物だよ。
Re: (スコア:0)
IPSとISPの区別もつかないのなら口挟まなければいいのに……
Re: (スコア:0)
ここ何週間か、手元の複数の顧客のIPSでErrata Securityを
アクセス元とする不正な攻撃アラームを検出しています。
実際に攻撃として成立するパケットが送られているよう
なのですが、それでも無問題なんですかね?
# きっとそういう調査なんだろうなーと思ってたら案の定
# レポートが公開された
Re: (スコア:0)
元コメントにコメントしようと思ったけどここに。
無問題かどうかは、公益と個々への損失との兼ね合いでしょう。
あなたの場合が一般的かは分かりませんが、その程度であるなら個々への損失は軽微な一方、こういったレポートには公益性が認められると思われるので無問題に思えます。
Re: (スコア:0)
それは公益性のある寄付の為なら、あなたの金を盗んでも良いという事?
メモリ読んでユーザ情報かき集めて、それをリストにして業者に売りつつ、奪取したサーバ情報を統計として宣伝すれば無実って、どんだけ素敵な社会なんだよ。
条件として悪用しなければ可ってのは、昔のブラックハット/ホワイトハットって呼ばれてた時代を思い出しますね。
でも、それを判別する方法が無いのだから、性悪説でいいんじゃないかな、特に米国的には。
Re: (スコア:0)
メモリ読んでユーザ情報かき集めて、それをリストにして業者に売りつつ、奪取したサーバ情報を統計として宣伝
これが事実なら当然問題ですよ。「きっとそういう調査なんだろうなーと思ってた」程度なら軽微なことですが、情報漏洩は全然軽微じゃないので。
繰り替えしますが「無問題かどうかは、公益と個々への損失との兼ね合い」です。
#今回の件で何か証拠があれば賠償金とれるんじゃないですかね。
#証拠なければ名誉毀損ですけどね
Re: (スコア:0)
×繰り替えし
Re: (スコア:0)
もちろん、犯罪者に対して通用するものではないが、
「スキャンしてくる輩は全員犯罪者だ」ってことにしたくなければ、
httpにかぎらず、robot.txtのようなオプトアウトな仕組みは必要だと思う。
スキャンされたくない権利くらいはあるだろう。
Re: (スコア:0)
ここまで中身のないコメントは初めて……でもないな。
たまに見るよね。理由も根拠も感想すら書いてないやつ。
>偽計業務妨害にもなりかねませんよね。 (スコア:0)
いつからスキャン者が日本国内に居住していると錯覚していた?
インターネットなのに日本の常識や倫理観で考えたらアカンよ。世界にはものを盗むことへの罪悪感が無い地域もある(倫理観に頼った抑止が通じない)し、そもそもいまやソマリアの海賊だってネットに繋がる(司法による抑止も通じない)時代よ?
Re: (スコア:0)
誰に言ってるのか判らないんだけど。
セキュリティ企業が保証するものでもないし、
騒いだ人(会社)は対策したけど、
元々騒いでも居ない連中がまだ大勢居るってことなのでは?
Re: (スコア:0)
主語が無いので何を言いたいのかわかりませんよ。