米カリフォルニア州ベルモント-2014年4月9日-DDoS(分散型サービス拒否)攻撃の規模拡大と巧妙化を緩和するために設計された唯一の企業であるDefense.Netは本日、昨夜発表された50万以上のウェブサイトが暴露され、セキュア・コンピューティングの歴史上最も壊滅的なバグの1つになるかもしれない「Heartbleed」脆弱性に関する同社の創設者バレット・リオンの声明を発表しました。
ロシアン・マフィアの一員として活動するハッカーの追跡をベストセラー『Fatal System Error』に記録し、10年以上前に現在の10億ドル規模のDDoS緩和産業を創出したリオンは、次のように指摘した:
- OpenSSLの実装にパッチが適用されていなければ、誰でもリモートで64Kのメモリチャンクを見ることができる。 別の言い方をすれば、脆弱なサーバーのメモリーに残されたものはすべて...公開データとなる...これはパスワード、アカウント、個人データ、そしてサーバー自体のSSL秘密鍵かもしれない! これがどれほど大きな問題であるかは、ウェブサイト、VPN、特殊なネットワーク機器、電子メール通信、電話アプリなど、あらゆるものにこのソフトウェアが使われていることからもわかる。
- "これがバグなのか意図的な追加なのかは、現時点では憶測に過ぎない。" "2年以上前からソフトウェアに含まれており、OpenSSLを使っている人なら誰でも暴露されている。"
- さらに悪いことに、このバグが世界的に修正されると、公開されたサーバーにあったSSL証明書はすべて再発行しなければならなくなる可能性が高く、ロジスティクスとセキュリティにおいて悪夢となる。 50万枚のSSL証明書を交換するコストは数億ドルに及ぶ可能性があり、いつ実現できるのか、またいつ実現するのかは不明です」。
- しかし、すでに何百万ものウェブサイトをHeartbleedから守っている即効性のあるソリューションがある。 Defense.NetのDDoSミティゲーションの副次的な利点は、より良く保護されたネットワークです。 無効なボットを一掃し、攻撃トラフィックを除去する過程で、Defense.NetのDDoSミティゲーションは、不正なものに対して正当なネットワークプロトコルも検証します。 これは、ネットワークの1つのレイヤーで独自のSSL/TLS実装を作成し、ネットワークのもう1つのレイヤーでHeartbleedバグを悪用しようとするトラフィックの挙動を監視しブロックするというプロセスによって達成される"
詳細はリヨンのブログに掲載されており、この脆弱性についての続報が入り次第更新される。
追記 F5ネットワークスがディフェンス・ネットを買収 2014年5月
F5について
F5(NASDAQ: FFIV は、世界最大手の企業、サービス プロバイダー、政府、消費者ブランド向けに、アプリの高速化、スマート化、安全性の向上を実現します。 F5 は、組織が速度と制御を犠牲にすることなく、選択したアプリケーション インフラストラクチャを採用できるようにするクラウドおよびセキュリティ ソリューションを提供します。 詳細については、f5.com をご覧ください。 F5、そのパートナー、テクノロジーに関する詳細については、Twitter で @f5networks をフォローするか、LinkedIn および Facebook にアクセスしてください。
F5 は、米国およびその他の国における F5 Networks, Inc. の商標またはサービス マークです。 ここに記載されているその他の製品名および会社名は、それぞれの所有者の商標である場合があります。
# # #
このプレスリリースには、リスクや不確実性を伴う将来の出来事や将来の財務実績に関する将来予想に関する記述が含まれている場合があります。 このような記述は、「かもしれない」、「だろう」、「すべきだ」、「期待する」、「計画する」、「予想する」、「信じる」、「見積もる」、「予測する」、「潜在的な」、「継続する」などの用語、またはこれらの用語や類似の用語の否定形によって識別できます。 これらの記述は予測に過ぎず、実際の結果は、SEC への提出書類で特定されたものを含むさまざまな要因に基づいて、これらの記述で予測されたものと大幅に異なる可能性があります。