カナダの歳入庁や英国の育児情報サイト「マムズネット」は現地時間2014年4月14日、「OpenSSL」の脆弱性を突いた攻撃による被害に遭ったことを相次いで公表した。悪用された脆弱性は、2014年4月7日に公表されたもの。この脆弱性については、セキュリティ組織などが注意を呼びかけている(関連記事)。対岸の火事ではない。OpenSSLを利用しているサーバーの管理者は確認および対応が急務だ。
OpenSSLとは、SSLやTLSを利用するためのライブラリ。SSL/TLSを利用するWebサーバーなどで広く利用されている。このOpenSSLに深刻な脆弱性が見つかった。OpenSSLを利用しているサーバーに対して、細工を施したデータを送信されるだけで、サーバーのメモリー上にある情報を盗み出される恐れがある。具体的には、そのサーバーを利用する別のユーザーがやり取りしているデータやパスワード、そのサーバーが利用しているSSL証明書の秘密鍵といった重要な情報を盗まれる危険性がある。
今回の脆弱性は、OpenSSLが備える「heartbeat」機能に存在する(関連記事:OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ)。ここでのheartbeat機能とは、通信相手が存在しているかを確認するための機能。脆弱性の発見者は、この機能名(heartbeat:心臓鼓動=生存確認)にちなみ、脆弱性の名称を「Heartbleed:心臓出血」バグと命名している(画面)。
インターネット上で稼働するWebサーバーの調査などを実施している英ネットクラフトによると、50万台のWebサーバーが脆弱性の影響を受けるとしている。また、トレンドマイクロでは、JPドメインのSSL利用Webサーバーの約45%で今回の脆弱性が見つかったとしている。影響範囲は広い。
実際、国外では、今回の脆弱性を悪用したと思われる攻撃の被害例が報告されている。例えばカナダの歳入庁(徴税をつかさどる行政機関)では、一部の納税者の情報が不正に削除されたという。
