4/10/2014

[IT] OpenSSLに深刻な脆弱性、通称Heartbleed

OpenSSLに深刻な脆弱性が発見された件、既にそれを利用した攻撃ツールも生まれたとあって業界中が大騒ぎですね。それも当然、およそネットのセキュアなトランザクションを用いるサイトの殆どがその秘匿化にSSLを利用していますが、OpenSSLはそのLinuxサーバにおける最も標準的な実装だったのですから。そして、当該脆弱性を突けば、原則として秘匿されるべき通信データの全てが取り放題になります。無論、クレジットカードやネット銀行での決済等、クリティカルなものも全て。VPNとかも全滅。規模、深刻さ、緊急性等あらゆる面で最も重大な脆弱性と言えるでしょう。

問題の箇所は通称Heartbeat。SSL本体ではなく、その接続の継続性を管理するサブモジュールの部分であるとの事です。それをもじって、本脆弱性はHeartbleed Bug等と呼ばれているようです。心出血とはまたグロテスクな、というか即死な感じですが、発生は二年前に遡るそうで、中核部ではないが故に注意が行き届かず、また発見も遅れたと言う事なのでしょうけれども、割と潜伏期間は長い点はその呼称とあまり合わない気もします。もっとも発症後には即死する疾患とでも解釈すれば良い話でしょうか。とそれはともかく。

該当するOpenSSLのバージョンは1.0.1と1.0.2betaで、1.0.1については既にパッチが発行されていますので、これを適用すればとりあえず解決です。が、これだけ根幹部分だと、特に基幹システム等では検証も必要ですし、パッチを当てるのも一苦労でしょう。既に修羅場に巻き込まれたであろう大勢のSEの方々には誠にお疲れさまですね。

ちなみに私個人のサーバに入っているOpenSSLのバージョンも1.0.1、見事に該当していました。おのれ。殆ど使ってませんからさしたる問題ではないんですけど、心臓に悪い事この上ありません。勘弁して欲しいです。Heartbleedってあだ名、実はこういう利用者とか管理者の側に与える心理的な悪影響もその意味に含まれてるんでしょうか。だとしたらなおさら感心させられる的確さだなと。当事者には洒落になりませんけど。

ユーザ側は、サイト側の対処、すなわちOpenSSLの非使用もしくはパッチ済みの旨が確認されるまでは、各サイトの利用を控える、位しか対処のしようもないわけですけれども。全く以て迷惑な話です。

Heartbleed: Serious OpenSSL zero day vulnerability revealed