Heartbleed

ITのセキュリティ問題として、今大きく報道されているOpenSSLの脆弱性問題です。
このOpenSSLはブラウザとサーバの通信を暗号化するのに使われているものですが、これが破られると通信の内容、たとえばパスワードのようなものが盗み見される危険性があります。

先ほど、NHKで三菱ＵＦＪニコスの情報漏洩のニュースがありました。

http://www3.nhk.or.jp/news/html/20140419/t10013867171000.html

OpenSSLの欠陥を狙った攻撃にようですが、クレジットコード会員894人の情報が流出したとのことです。

ブラウザ-サーバ間の通信傍受ができるという脆弱性と思っていたのですが、もっと深刻のようです。

http://blog.trendmicro.co.jp/archives/8927

上記サイトより、影響をうけるのは、以下のバージョンのようです。

OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1

また、
「脆弱性を抱えるサーバが攻撃を受けると、攻撃者は、痕跡をまったく残さず、PC のメモリから一度に 64KB までの情報を読み出すことが可能になります。」
とありますが、これはかなり深刻です。

以前、1.0未満のバージョンを使っているときセキュリティ警告がありましたが、このときセキュリティ警告がでていても、特に問題がないからということで、放置されていたものもありました。
今回は、逆に最新のバージョンにしなかったから助かったというところもあるかもれません。

OpenSSLの構築は私も経験がありますが、主にApacheとよばれるWebサーバのモジュールとして導入することが多いのではと思います。
これは、結構たくさんのサイトで使われています。修正は、最新のソースを入手してコンパイル、サーバの再起動することにより対応できますが、他のシステムに影響を与えることも考えられので慎重に対応する必要があります。

ただこの事件で認識しなくてはいけないのは、現在のインターネットサービスを提供するかなりのサーバで、この「Open」というものがたくさん使われていることです。代表的なサーバOSのLinux自体がオーブンソースです。だれもがその仕組みを知ることができ、利用できます。つまり誰もが、その脆弱性を知ることができそれを悪用することもできるわけです。

このようなシステムが、社会インフラとして堂々としてあることが現実であることを十分に知っておく必要があります。