三菱UFJニコスも被害を公表

　ちょうどWindows XPのサポート期限が切れるという日、OpenSSLに重大な欠陥が発見されたというニュースが世間を騒がせ始めた。「Heartbleed」という名前をネットのニュースや新聞紙上で見かけた人も多いのではないだろうか。

　SSLは、言わずと知れたWebサーバーとの通信を暗号化するためプロトコルだ。OpenSSLは、そのオープンソース実装の代表的なソフトウェアであり、世界中で多くのサイトが利用している。

　このOpenSSLにバッファオーバーフローに関係する脆弱性（CVE-2014-0160）が正式に公表されたのは、4月7日のCVEによるリリースからだ。発表や関連の報道、研究者のレポートによれば、この脆弱性を利用すると、暗号化通信路でやりとりされたIDやパスワード情報、最悪の場合、暗号通信の秘密鍵まで漏えいする可能性があるとのこと。しかも、この脆弱性は2年ほど前にOpenSSL 1.0.1がリリースされたときから存在していたというのだ。

　アカウント情報や秘密鍵まで盗めてしまう脆弱性が2年も放置されていたこと。それが、OpenSSLというSSL通信のスタンダードともいえるソフトウェアだったこと。攻撃の痕跡がほとんど残らないことから、政府機関や大企業も慎重を期すため、Webサービスを一時ストップして被害を調べたり、念のためのパスワード変更を促すアナウンスをしたりと、現在でも大きな騒ぎとなっている。

　国内で初の不正アクセス事案となったのは、三菱UFJニコスだ。同社では4月11日午後6時33分に不正アクセスを検知した。直ちに調査を開始したところ、OpenSSLの脆弱性を狙ったものであると判断し、影響範囲を調査するとともに、ウェブサービスを停止した。今回、同社発行のクレジットカードを保持ししているWEB会員、延べ894名の登録情報が不正閲覧されたことが判明しており、日を追うごとに深刻な問題が表出している状況だ。

「Heartbleed」はどんな脆弱性なのか

　CVE-2014-0160はどのような脆弱性かというと、SSL通信のセッションを維持するために拡張された機能（RFC6520）の実装にバッファオーバーフローに関する問題があり、これを悪用すると、サーバー上のメモリデータをクライアント（攻撃者）が読みだすことができてしまうというものだ。

　簡単に説明すると、この拡張機能はHeartbeat（心臓の鼓動）と呼ばれ、セッションを確認・維持するためサーバーとクライアントで共有するデータを定期的にやりとりする仕組み（同じ値をやりとりできている間はセッションは有効）だ。heartbeat extensionはOpenSSLでは1.0.1から実装されている。

　やり取りするデータサイズの確認に不具合があり、クライアントが0バイトのデータを送りサイズを64KBと「ウソ」つけば、サーバーが64KB分のメモリ上のデータを返してしまう。つまり、サーバーから返送されたデータを解析すれば、メモリ上に一時的に保存されたID情報や秘密鍵を発見できるかもしれないというのが今回の脆弱性だ。

　「Heartbleed（＝心臓の出血）」という名前はHeartbeat extensionに由来しているが、文字通り致命傷であるという意味で、問題の重大さを表現しているものといえる。

【次ページ】ユーザーはどのような対処をすべき？