暗号化ソフトウエアに重大な欠陥
534ものサイトが
OpenSSL
に重大な欠陥が見つかり、企業や団体のセキュリティ担当が対応に追われている現状です。
今回欠陥が見つかった「OpenSSL」は、インターネット上の買い物サイトやクレジットカード決済に広く利用されている暗号通信ソフトウエアです。
クレジットカードやパスワードなどの個人情報をネット上でやりとりする場合、安全性を高めるために情報を暗号化する必要があります。
「OpenSSL」はその代表的な技術でネット通販サイトなどで標準的に利用されています。
情報セキュリティ会社の調査によると国内1万7852の買い物サイトなどのうち約3パーセントに当たる534サイトが問題のOpenSSLを利用していたことが分かりました。
サーバー上の情報収集が可能な状態だった
今回の欠陥を利用するとクレジットカードやパスワードなどの個人情報を盗むことが出来てしまいます。
この欠陥は2年間放置されたままでした。
いまのところこの欠陥を利用したと思われる被害報告は挙がっていませんが、すでに情報が盗まれている可能性は否定できません。
情報セキュリティ会社は「OpenSSL」を利用している企業に修正を呼びかけるとともに、利用者には、金銭に関わる不振な動きがないか注意を払う必要があると警告しています。
すでに修正版がリリース
この欠陥に関してはすでに修正版がリリースされています。米グーグルはすでに主要サービスで修正したと発表、ネット通販王手の楽天市場も
としています。
ハートブリードとは
ノートにたとえると
今回の欠陥はその深刻さを象徴して
ハートブリード(心臓からの出血)
と呼ばれています。
ハートブリードとはどのような欠陥なのでしょうか?
コンピューターの空き容量は実際にまっさら状態ではありません。
すでにデータが書き込まれており、それが不要なデータで上書きしても問題ない領域のことを指します。
ノートでいえばすべてのページが文字で埋まっており、このページのデータは不要なので上書きしてもかまわない、それが空き容量として利用されているのです。
わかりやすい例でハートブリードを説明してみましょう。
あなたがノート100ページ分のデータを持っていると仮定します。
これをノートに記録する必要がある。
文房具屋に行ってノートを買います。
すると店員はすでに文字で埋まった100ページのノートをあなたに渡します。
ここであなたが1ページ分しか必要ないのに、
とリクエストしたとします。
店員は素直に100ページのノートを渡してくれます。
あなたは1ページ分のデータしか持っていませんからのこり99ページは使用しません。
言い替えると99ページ分のデータが入手できてしまいます。
情報が簡単に入手可能
あなたはなんの苦労もなく重要なデータを入手したことになります。
これが今回の欠陥です。
この状態が2年間も発見されず、放置されていたのです。
今後この欠陥が原因の被害が報告されるかもしれません。
こんなわかりやすい欠陥がなんで2年間もわからんまま放置されてたんやろう・・・
安全性を高めるためのOpenSSLやのに意味ないやん・・・
