「Heartbleed」バグ、30万台のサーバが今も無防備

　「Heartbleed」バグが発見されてから2カ月が経過したが、依然として、少なくとも30万台のサーバがこのバグに対して無防備な状態にある。

　Googleのエンジニアが発見したHeartbleedは広範なパニックを引き起こし、世界中の企業が猛烈な勢いでサーバにパッチを適用した。このセキュリティバグは「OpenSSL」に影響を及ぼし、悪用された場合、アカウントログイン情報やパスワードが盗み出されるおそれがある。しかし、このバグがほかと異なるのは、膨大な数のウェブサイトが使用するオープンソースプロジェクトのOpenSSLフレームワークに内在しているということだ。そのため、ウェブ上のおびただしい数のサーバが危険にさらされてしまった。

　Heartbleedの存在が公表された後、Errata Securityのセキュリティ研究者であるRobert David Graham氏は、約60万台のサーバがこのセキュリティ脆弱性に対して無防備な状態にあることを発見した。その1カ月後、これらのサーバの半数はパッチ適用により、Heartbleedの脅威から保護された状態になっていた。無防備なサーバはわずか31万8239台だった。

　しかし、Heartbleedの発見から2カ月が経った今、30万9197台のサーバが依然として無防備な状態にある。この1カ月、新たにパッチが適用されたサーバはわずか9042台だったので、パッチ適用率のパーセンテージは2桁から1桁に急落した。

　パッチ適用が停滞している現在の状況は、人々がシステムへのパッチ適用を試みることさえ止めてしまったことを意味している、とGraham氏は述べた。同氏によると、古いサーバが置き換えられるにしたがって、無防備なシステムは「徐々に減少」していくはずだという。しかし、大手企業数千社が自社のウェブサイトにセキュリティ対策を施した今、まだそれを実行していない小規模企業が追随する可能性は低い。

　「ただし、今から10年後も数千台のシステムが依然無防備な状態にあり、それには極めて重要なシステムも含まれると私は予測している」（Graham氏）