OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も

パスワードや秘密鍵といった情報が簡単に盗まれてしまうことも実証され、影響は非常に広範に及ぶ。

[鈴木聖子，ITmedia]

　オープンソースのSSL／TLS実装ライブラリ「OpenSSL」に発覚した脆弱性は、極めて重大な影響を及ぼすことが分かってきた。パスワードや秘密鍵などの情報が簡単に盗まれてしまうことも実証され、影響範囲は非常に広い。問題の修正には「OpenSSL 1.0.1g」に更新する必要があり、セキュリティ機関などが迅速な対応を呼び掛けている。

　脆弱性は「heartbeat」という機能の実装問題に起因することから、重大性に鑑みて「Heartbleed」（「心臓出血」の意味）の名称で呼ばれている。セキュリティ企業のCodenomiconはこの脆弱性について詳しく解説したWebサイト「Heartbleed Bug」を開設した。

　それによると、この脆弱性を突かれた場合、OpenSSLで保護されているはずのシステム上にあるメモリを、インターネット上で誰もが読めてしまえる。

　例えばサービスプロバイダーの認証やトラフィックの暗号化に使われる秘密鍵、ユーザー名やパスワードなどを盗まれたり、通信を傍受されたりする恐れもあり、盗まれた情報がなりすましなどの攻撃に利用される可能性もある。

　Codenomiconは外部から攻撃を仕掛ける実験を行った結果、特権情報やパスワードを一切使うことなく、証明書の秘密鍵、ユーザー名とパスワード、インスタントメッセージや電子メール、企業の重要文書や通信などを盗み出せることを確認したとしている。

　また、セキュリティ企業のFox-ITは、米Yahoo!のユーザー名とパスワードを入手できることを確認したと伝えた。

　OpenSSLを使っているオープンソースのWebサーバはApacheとnginxだけで66％のシェアを持つほか、メールサーバやチャットサーバ、仮想プライベートネットワーク（SSL VPN）などにもOpenSSLが使われており、影響は極めて広範に及ぶ。

　米SANS Internet Storm Centerによると、米国時間4月8日の時点でUbuntu、CentOSなどはこの脆弱性を修正するパッチを公開した。AppleのOS X Mavericksはまだ未対応。Windowsは影響を受けないと思われる。

　脆弱性のあるシステムをリモートでスキャンするためのコンセプト実証コードも出回っているという。

　脆弱性はOpenSSL 1.0.1〜1.0.1fに存在する。2011年12月に導入されて2012年3月14日の1.0.1リリースで出回り、2014年4月7日に公開された1.0.1gで修正された。なお、1.0.0系と0.9.8系は影響を受けないとされる。