攻撃者は工夫を凝らし、ソフトウエアの脆弱性を意のままに操ろうとしている。だが、ソフトウエアに脆弱性が存在しても、意図したように動作させるのは容易ではない。その手口は、脆弱性の種類によって様々だ。どのようなメカニズムで脆弱性は悪用されるのか。代表的な手口を取り上げ、その恐るべきメカニズムを図解する。

イラスト=森のくじら
イラスト=森のくじら

 ソフトウエアに脆弱性があると、重要な情報を盗まれる恐れがある。例えば、Webサーバーで稼働するソフトウエアに脆弱性があると、ユーザーの個人情報を盗まれる場合がある。脆弱性のあるソフトウエアを使っているサーバーの管理者だけではなく、落ち度のないユーザーまで被害に遭うのだ。最近では、2014年4月に報告された、OpenSSLの「Heartbleed」脆弱性が該当する。

 OpenSSLは、SSLを利用するためのサーバーソフト。ネットショッピングやネットバンキングなどのWebサイトで広く使われており影響が大きかった

「宣言」をうのみにする

 Heartbleedは、2012年公開のOpenSSL 1.0.1から実装された「heartbeat」と呼ばれる機能に存在する。heartbeatとは、通信相手が稼働しているかどうかを確認する機能。脆弱性の発見者は、この機能名(heartbeat:心臓鼓動)にちなみ、「Heartbleed:心臓出血」脆弱性と命名した。

 heartbeatでは、SSLで通信している相手が稼働しているのを確かめるために、上限64Kバイトの確認用データを送信する。確認用データを受信した側では、そのデータをそのまま返送する。これにより、確認用データを送信した側では、相手が稼働していると判断する。

▼SSL
Secure Sockets Layerの略。Webの通信で広く使われる暗号通信方式を指す。
▼影響が大きかった
当時実施されたトレンドマイクロの調査では、SSLを使用する「JP」ドメインのWebサイトのおよそ45%が、脆弱性のあるOpenSSLを使っていたという。OpenSSLはWebサイト以外でも使われており、VPNルーターやFTPサーバー、メールサーバーなどでも脆弱性が見つかる可能性がある。SSLに対応したFTPクライアントソフトやメールソフトなどにも組み込まれている場合がある。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。