PR

 広く利用されているオープンソースの暗号通信ソフト『OpenSSL』に、2012年から存在していた重大な脆弱性を指す。OpenSSLが備える「heartbeat」機能に存在する。OpenSSLを利用しているサーバーに対して、細工を施したデータを送信されるだけで、サーバーのメモリー上にある情報を攻撃者に奪われる恐れがある。

 この脆弱性が見つかったのは、2014年4月7日。OpenSSLは、世界中のSSLが動作しているサイト(いわゆる「https://」で始まるサイト)の6割以上で使用されているといわれており、大きな話題となった。約2年という長い間、OpenSSLで暗号化処理をしているサイトが危険にさらされていたことも、物議を呼んでいる。

 今回見つかった脆弱性は、通信相手が存在しているかを確認する機能(HeartBeat:心臓鼓動)で発見された。暗号化したデータを相手に送受信する部分の機能ではない。従って、やり取りしているデータを、第三者が直接見ることができるわけではない。ただし、暗号処理そのもので使用するWebサイトの秘密鍵、閲覧者とやり取りしたデータなどが、流出の危険にさらされた。

 実際に、被害事例も出てきている。例えば、三菱UFJニコスは2014年4月18日、同社Webサービスから894人分の個人情報が流出した恐れがあることを明らかにした。OpenSSLの「Heartbleed(心臓出血)」脆弱性が悪用されたことを特定したという(関連記事:国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か

 また、米セキュリティ企業Sucuriが世界の主要なWebサイトを調査したところ(現地時間4月17日現在)、ランキングの上位1000サイトはすべて対応済みだったが、上位100万サイトの2%にはまだこの脆弱性が残っていることが分かった(関連記事:OpenSSLの「心臓出血」脆弱性、上位100万サイトの2%が未修正)。