既に死んでいるにもかかわらず町中を徘徊(はいかい)し、人間に危害を加えようとする怪物「ゾンビ」―。2014年。ソフトウエアとしての寿命が尽きた「ゾンビOSS」が世界中の情報システムを危機に陥れた。

 「Javaアプリケーションフレームワーク『Struts 1』のセキュリティ脆弱性に対応するために、国税庁の確定申告サービスが停止」「暗号ソフト『OpenSSL』の『心臓出血(Heartbleed)』と呼ばれる脆弱性が攻撃されて、大手カード会社のWebサイトから個人情報が流出」―。2014年はOSS(オープンソースソフトウエア)の脆弱性が大きな注目を集めた年だった(図1)。

図1 2014年に発生した主なOSSセキュリティ問題
OSSの脆弱性が社会的な事件となった
図1 2014年に発生した主なOSSセキュリティ問題
[画像のクリックで拡大表示]

 脆弱性が見つかるのは何もOSSに限った話ではない。「Windows」や「Adobe Flash」などソースコードが公開されていない「商用(プロプライエタリ)ソフトウエア」にも毎月のように脆弱性が見つかっている。

 それでもStruts 1やOpenSSLの脆弱性は、今日のOSSが抱える問題点を浮き彫りにしたという意味で特筆すべき事件だった。

 第1は、開発コミュニティーの事情によってソフトウエアの保守が満足に行われない状態になっていたこと。第2は、ユーザー企業が気付かないうちに幅広いシステムで、危険を抱えたソフトが使われていたことだ。具体的に見ていこう。

人気ソフトが2013年に保守終了

 Struts 1は、プログラミング言語の「Java」を使ってWebアプリケーションを開発するためのフレームワークである。このStruts 1に2014年4月、Webサーバーに保存した情報が盗まれたり、悪質なプログラムを実行されたりする恐れがある脆弱性が見つかった。