いまだに企業のWebサーバーへの攻撃が続いている。攻撃を受ける企業の側も未対策の場合が多い。また、“別人問題”と呼ばれるキャッシュサーバーの問題も出てきた。Webセキュリティの第一人者である徳丸浩氏に、各問題の注目すべき点について語ってもらった。
Heartbleed再び! 古い脆弱性がいまだに攻撃される
2018年5月にコンタクトレンズ事業を手掛けるメニコンの子会社で、外部からの不正アクセスにより顧客のクレジットカード情報が流出したという事件が起きましたね。
徳丸 前回、クレジットカードの非保持について、私自身はちょっと効果を疑問視しているという話を掲載していただきました。メニコンさんの事例はHeartbleedだという話ですけれども、Heartbleedだとたぶん非保持にしていれば防げただろうと思います。
この話にはいくつかの観点があるんですが、Heartbleedがかなり古い脆弱性で、2014年4月ですね。そういう古い脆弱性がいまだに悪用されるというところが一つのポイントであると思います。
当初、OpenSSLの脆弱性ということで、セキュリティ業界ではいったいOpenSSLのどの脆弱性で漏れるんだろうという発言がなされていました。古い脆弱性がしばしば放置されている現状があるので、私は絶対Heartbleedだと思っていました。
一般的にOpenSSLの脆弱性で情報流出の可能性は低いのでしょうか?
徳丸 OpenSSLというのはSSLの処理をするライブラリです。そこに脆弱性があるとすると、暗号が不十分で、解読されるんじゃないかと思う人が多いわけです。でも、そういう方法では大量には漏れません。HeartbleedはOpenSSLの脆弱性ですが、たまたまWebサーバー上のメモリーの内容がとれるというタイプの脆弱性でもあるので、それなら攻撃の仕方によっては、何十件、何百件の情報が漏れることも、あり得ます。
Heartbleedの脆弱性で、クレジットカード情報が漏れたという事例は実はたまにあります。でも、ひょっとすると確証はないかもしれません。Heartbleedの脆弱性はなかなか「ここから漏れた」という動かぬ証拠が残りません。調べてみたらHeartbleed脆弱性があったので、これじゃないかと見立てるケースが多いのだと思います。いずれにしても、カード情報を扱う以上はWebを堅牢にしなければいけないのですが、4年前の脆弱性が残っているくらいですから、長期間、何もしていないんだろうなということは分かります。
一時、名前付きの脆弱性で「Shellshock」とかいろいろ話題になりましたが、ああいった脆弱性に対する攻撃というのは現在でもどんどん来ています。対策されていれば何事も起きないわけですが、未対策のサイトが残っていると思い出したようにこういう事件が起きる。
Shellshockが起きたのも2014年ですね。しかも、こういう言い方はなんですが、この2つの脆弱性は攻撃者にとって非常に使い勝手がいい。脆弱性は攻撃・悪用が難しいものが多いのですが、一部に使い勝手のいい脆弱性がいまだに残って問題になっています。今回の話もその象徴的な話ではないかと思いますね。