• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

勝村 幸博=日経NETWORK 2016/04/20 日経NETWORK
出典:日経NETWORK 2015年7月号pp.28-30
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

 攻撃者は工夫を凝らし、ソフトウエアの脆弱性を意のままに操ろうとしている。だが、ソフトウエアに脆弱性が存在しても、意図したように動作させるのは容易ではない。その手口は、脆弱性の種類によって様々だ。どのようなメカニズムで脆弱性は悪用されるのか。代表的な手口を取り上げ、その恐るべきメカニズムを図解する。

イラスト=森のくじら

 ソフトウエアに脆弱性があると、重要な情報を盗まれる恐れがある。例えば、Webサーバーで稼働するソフトウエアに脆弱性があると、ユーザーの個人情報を盗まれる場合がある。脆弱性のあるソフトウエアを使っているサーバーの管理者だけではなく、落ち度のないユーザーまで被害に遭うのだ。最近では、2014年4月に報告された、OpenSSLの「Heartbleed」脆弱性が該当する。

 OpenSSLは、SSLを利用するためのサーバーソフト。ネットショッピングやネットバンキングなどのWebサイトで広く使われており影響が大きかった

「宣言」をうのみにする

 Heartbleedは、2012年公開のOpenSSL 1.0.1から実装された「heartbeat」と呼ばれる機能に存在する。heartbeatとは、通信相手が稼働しているかどうかを確認する機能。脆弱性の発見者は、この機能名(heartbeat:心臓鼓動)にちなみ、「Heartbleed:心臓出血」脆弱性と命名した。

 heartbeatでは、SSLで通信している相手が稼働しているのを確かめるために、上限64Kバイトの確認用データを送信する。確認用データを受信した側では、そのデータをそのまま返送する。これにより、確認用データを送信した側では、相手が稼働していると判断する。

▼SSL
Secure Sockets Layerの略。Webの通信で広く使われる暗号通信方式を指す。
▼影響が大きかった
当時実施されたトレンドマイクロの調査では、SSLを使用する「JP」ドメインのWebサイトのおよそ45%が、脆弱性のあるOpenSSLを使っていたという。OpenSSLはWebサイト以外でも使われており、VPNルーターやFTPサーバー、メールサーバーなどでも脆弱性が見つかる可能性がある。SSLに対応したFTPクライアントソフトやメールソフトなどにも組み込まれている場合がある。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 脆弱性のあるOpenSSLでは、確認用データのサ...
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る