ウイルス対策・インターネット詐欺

ハートブリードとは?OpenSSLに欠陥。個人情報漏洩の怖れ

Written by 言祝(kotoho)

暗号化ソフトウエアに重大な欠陥

534ものサイトが

OpenSSL

重大な欠陥が見つかり、企業や団体のセキュリティ担当が対応に追われている現状です。

今回欠陥が見つかった「OpenSSL」は、インターネット上の買い物サイトやクレジットカード決済に広く利用されている暗号通信ソフトウエアです。

クレジットカードやパスワードなどの個人情報をネット上でやりとりする場合、安全性を高めるために情報を暗号化する必要があります。

「OpenSSL」はその代表的な技術でネット通販サイトなどで標準的に利用されています。

情報セキュリティ会社の調査によると国内1万7852の買い物サイトなどのうち約3パーセントに当たる534サイトが問題のOpenSSLを利用していたことが分かりました。

サーバー上の情報収集が可能な状態だった

今回の欠陥を利用するとクレジットカードやパスワードなどの個人情報を盗むことが出来てしまいます。

この欠陥は2年間放置されたままでした。

いまのところこの欠陥を利用したと思われる被害報告は挙がっていませんが、すでに情報が盗まれている可能性は否定できません。

情報セキュリティ会社は「OpenSSL」を利用している企業に修正を呼びかけるとともに、利用者には、金銭に関わる不振な動きがないか注意を払う必要があると警告しています。

すでに修正版がリリース

この欠陥に関してはすでに修正版がリリースされています。米グーグルはすでに主要サービスで修正したと発表、ネット通販王手の楽天市場

今回の欠陥の影響はない

としています。



スポンサーリンク

ハートブリードとは

ノートにたとえると

今回の欠陥はその深刻さを象徴して

ハートブリード(心臓からの出血)

と呼ばれています。

ハートブリードとはどのような欠陥なのでしょうか? 

コンピューターの空き容量は実際にまっさら状態ではありません。

すでにデータが書き込まれており、それが不要なデータで上書きしても問題ない領域のことを指します。

ノートでいえばすべてのページが文字で埋まっており、このページのデータは不要なので上書きしてもかまわない、それが空き容量として利用されているのです。

わかりやすい例でハートブリードを説明してみましょう。

あなたがノート100ページ分のデータを持っていると仮定します。

これをノートに記録する必要がある。

文房具屋に行ってノートを買います。

100ページのノートをください

すると店員はすでに文字で埋まった100ページのノートをあなたに渡します。

このノートはすでに100ページ分の文字で埋まっていますが、必要ない文字なので、上書きして使ってください

ここであなたが1ページ分しか必要ないのに、

100ページのノートをください

とリクエストしたとします。

店員は素直に100ページのノートを渡してくれます。

あなたは1ページ分のデータしか持っていませんからのこり99ページは使用しません。

言い替えると99ページ分のデータが入手できてしまいます。

情報が簡単に入手可能

あなたが入手した99ページ分のデータの中に個人情報が入っていたら、どうなるでしょう。

あなたはなんの苦労もなく重要なデータを入手したことになります。

これが今回の欠陥です。

この状態が2年間も発見されず、放置されていたのです。

今後この欠陥が原因の被害が報告されるかもしれません。

まさケロンのひとこと

こんなわかりやすい欠陥がなんで2年間もわからんまま放置されてたんやろう・・・
安全性を高めるためのOpenSSLやのに意味ないやん・・・

masakeron-oko


スポンサーリンク

あなたにオススメの記事&広告

筆者情報

言祝(kotoho)

映画オタク。日課は読書。最近は料理にハマっています。座右の銘は「好奇心を失ったら、そこで終わり」