OpenSSLにセキュリティ脆弱性 "Heartbleed "が露見してから1週間が経ちました。多くの企業が脆弱性を修正するパッチをリリースしていますが、Android 4.1.1を搭載した携帯電話ユーザーのうち、まだ数億人が「Heartbleed」の危険にさらされています。OpenSSLは4月7日に "Heartbleed "の脆弱性を発表し、同日に修正パッチをリリースしました。しかし、Android 4.1.1オペレーティングシステムを搭載したタブレットやスマートフォンの中には、依然としてOpenSSLの脆弱性にさらされているものが数億台存在します。Googleが発表した数字によると、2012年半ばにリリースされたAndroid 4.1 Jellybeanは、依然として9億人のAndroidユーザーの3分の1以上を占めています。
グーグルは、Heartbleedの脆弱性の影響を受ける可能性のあるデバイスは、アクティブ化されたデバイスの10%未満であると強調していますが、これはまだ数百万人のユーザーが現在無防備であることを意味します。
"デバイスメーカーやオペレーターは、脆弱性が悪用されるのを避けるために、今すぐ何かをする必要がありますが、そのプロセスは通常長引きます。"セキュリティ機関Lacoon Securityの共同設立者兼CEOであるマイケル・ショロフは、次のように述べています。
現在のところ、ハッカーは基本的にOpenSSLプロトコルを使用するサーバーサイトを標的にしており、個人のエンドポイントデバイスは標的になっていません。
しかし、何があろうと、攻撃を受けないように脆弱性を埋めることが最優先であることに変わりはありません。例えばBlackBerryは、AndroidとiOS向けのBBMアプリとSecure Work SpaceエンタープライズEメールアプリに「heartbleed」パッチを提供することを明らかにしています。
