検索
Japan
ネット史上最悪の脆弱性と呼ばれる「Heartbleed(ハートブリード)」とは?
Heartbleedとは?
Heartbleed(読み方:ハートブリード)とは、2014年に発覚したオープンソースの暗号ソフトウェア「OpenSSL」の脆弱性(CVE-2014-0160)です。本脆弱性は、拡張プログラム「Heartbeat」のバグであることから、「Heartbleed(心臓出血)」という名称が付けられました。
OpenSSLはWEBサーバーなどの暗号ソフトウェアとして広く普及していることから、本脆弱性はネット史上最悪の脆弱性とも言われました。実際に、カナダの歳入庁、国内では三菱UFJニコスやメニコンが本脆弱性の被害にあっています。
脆弱性の概要
Heartbeatは、SSLの死活監視機能です。本機能では、通信相手が正常に稼働しているか確認するために上限64Kバイトのデータの送受信を行います。
Heartbleedは、細工したHeartbeatのリクエストを送信した場合にサーバーのメモリー上にある意図していないデータが返ってしまうバグでした。この脆弱性により、個人データやパスワードなどの重要な情報を盗まれる危険性がありました。
OpenSSLは、ApacheやNginxといったオープンソースのWebサーバーで使用されていたため、影響は広範囲に及びました。Netcraftの当時の調査ではこの2つだけを合わせたサーバー市場のシェアは66%を超えていました。
国際的に著名なセキュリティ技術者であるブルース・シュナイアー氏も「"壊滅的"というのが正しい表現」「レベルが1から10まであるとしたら、これは11だ」と評価しました。
OSS由来の脆弱性への対応
OpenSSLだけに限らず、すべてのOSSには深刻な脆弱性が潜んでいる可能性があります。近年では、ロギングライブラリであるLog4jの脆弱性「Log4Shell」が大きな話題となりました。これらの重大な脆弱性はいつ発覚してもおかしくありません。
OSS由来の脆弱性に起因するセキュリティ事故については、最大700億円超にも及ぶ多額の賠償が課された事例もあります。このような事態を防ぐためには、事前にどれだけ対策しておけるかが重要となります。
OSSの脆弱性は通常のセキュリティスキャンでは検出できないことが多いため、OSS専用の脆弱性チェックツールを用いることが最善の策となります。デジタル時代のリスク管理として、OSS管理ツールの活用は有効な手段になると思われます。
関連製品(OSS管理&SBOM管理ツール)
