OpenSSL%E3%81%AE%E9%87%8D%E5%A4%A7%E3%83%90%E3%82%B0%E3%81%8C%E7%99%BA%E8%A6%9A%E3%80%82%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%81%AE%E5%A4%A7%E9%83%A8%E5%88%86%E3%81%AB%E5%BD%B1%E9%9F%BF%E3%81%AE%E5%8F%AF%E8%83%BD%E6%80%A7

OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性

こんなTシャツを見たことがある。「私は爆発物処理技術者だ、私が走っているのを見たら、遅れないようについてくること」。

同じことはネットセキュリティーに関しても言える。知り合いのセキュリティー関係者全員がうろたえていたら、たぶん心配した方がいい。

今日(米国時間4/7)の午後、私の知っている多くのセキュリティー関係者がうろたえている。非常に深刻なバグがOpenSSLに見つかり、公表された。OpenSSLは、インターネットトラフィックの非常に〈非常に〉多くの部分で使われている暗号化ライブラリーだ。

OpenSSLという言葉を聞いたことのない人でも、何らかの形、いやおそらく多くの形で、自分の生活に関わっているはずだ。あなたの使うアプリや訪れるサイトでやり取りするデータが暗号化されていれば、OpenSSLを使っている可能性か高い。例えば、インターネットの50%で使われていると言われるApacheウェブサーバーは、OpenSSLを使っている。

セキュリティー研究者らが “Heartbleed“と呼ぶそのバグを悪用すると、過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。

それで何が困るのか。サーバーのシステムメモリーには、極めて機密性の高いデータが置かれていることが多い。例えば、通信データ(ユーザー名、パスワード、クレジットカード等)を暗復号化するためのキー。つまり、アタッカーは容易に秘密の鍵を取り出すことが可能になり、傍受したデータをあたかも暗号化されていなかったかのように読むことができる。これらのキーを持てば、アタッカーが他人になりすまして本来機密性の高いサイトやサーバーに侵入することもできる。

そして、もしどこかのアタッカーが、いずれ解読するつもりでサーバーから山ほどの暗号化データを取り出して持っていたら? それらを解読するためのキーを手に入れているかもしれない(アタックしたサーバーの構成による。例えば、Perfect Forward Secrecyを使って設定されているかどうか)。

非常に控え目に言って、これは悪いニュースだ。

問題のバグは、OpenSSLの “heartbeat” という機能の実装に存在する。そこから “Heartbleed” と名付けられた。

このバグは、OpenSSLに2年以上存在していたが(2011年12月以来、OpenSSL 1.0.1~1.0.1f)、今日初めて発見され公表された。さらに悪いことには、このバグを悪用してもその痕跡はログに残らないようだ。つまり、システム管理者は自分のサーバーが侵入されたかどうかを知る術がない。されたと仮定するほかはない。

このバグはGoogleセキュリティーチームのNell Mehtaによって発見され、OpenSSLチームに報告された。OpenSSLは今日の午後、セキュリティー・アドバイザリと共に緊急パッチを発行した。セキュリティー会社のCodenomiconが、Heartbleedバグの詳しい解説を書いている。

[原文へ]

(翻訳:Nob Takahashi / facebook

広告

blog comments powered by Disqus

コメント

Atsuhiro Teshima
単語学習では、なぜか国際展開を全然しないiKnowがレベル高いと思うのでこちらにも頑張って欲しい。英…
名無し
単語を見る→知ってるか知らないかを判別する→それを繰り返して→知ってる単語を増やすという流れですよね…
そーみ
覚えてもすぐ忘れそう。まあ、繰り返しが大切だね。
Ichiro Mizoguchi
なぜにmikan という名前なんでしょうか。学習効果高そうなので、名前付けの理由気になりますねぇ。
kazuki himura
一事業人員を半減させる思い切り。ベストプラクティスの拡充では限界。どんどん新しくですね。