OSやミドルウエアなどの商用ソフトやOSS(オープンソースソフトウエア)、自社開発のアプリケーションといったソフトウエア全般に潜む欠陥のうち、特に情報セキュリティ上の事故につながる恐れのあるもの。
2014年には、多くのシステムで長く使われ、バグが枯れ切ったと思われていたOSSから重大な脆弱性が見つかり、すぐにサイバー攻撃に悪用される事案が立て続けに起こった。脆弱性に対する危機意識は行きわたっておらず、脆弱性を狙う攻撃は後を絶たない。脆弱性の適切な管理・対処は古くからある問題だが、ここにきて取り扱いが一層難しくなっている。
2014年において、広く長く使われてきたOSSに脆弱性が露呈した最初の事案は4月に起こった。「https://」で始まるサイトの6割以上で使用されているといわれている通信暗号化ソフト「OpenSSL」に「Heartbleed」(心臓出血)と呼ぶ脆弱性が見つかった。
通信相手が稼働しているかどうかを確認する機能にバグがあり、本来は1Kバイト分のデータを送り返すところを64Kバイト分を返送していた。この余分なデータに利用者のIDやパスワード、Webサイトの秘密鍵などが含まれている可能性があった。
国内では三菱UFJニコスが被害に遭い、894人の顧客のカード番号や氏名、生年月日、住所、電話番号、メールアドレス、支払口座情報、勤務先情報などが不正に閲覧されたことが分かった。脆弱性が埋め込まれたのは2012年。実に2年以上、誰も脆弱性に気付かなかったことになる。
