暗号化ソフトOpenSSLで見つかったバグ「ハートブリード」とは?
今年4月に発覚したバグ「ハートブリード」は、世界中に大きな衝撃と驚きをもたらした。これは暗号化ソフトサービスOpenSSLで見つかったもので、同サービスは世界中で広く利用されているため、非常に大きな影響を与えた。このバグがどのようなものだったのか、また、きっかけなどは何か、それについて見ていこう。
暗号化ソフトOpenSSLとは何か
暗号化ソフトサービスOpenSSLとは、ウェブサービスに入力する情報を暗号化してデータの保護を行うサービスだ。1998年から開始し、今や世界に存在するウェブサービスの3分の2で使われるほど広まっている。多くの企業や公的団体などで使用されている現実から、全世界のインターネットセキュリティにおいて「メイン」といえる状況がうかがわれる。
ハートブリードとは何か、またどうして起こったのか
ハートブリードは、別のバグの修正過程で、意図的ではなく組み込まれ発生したバグだ。暗号化データがすべて消される前なら、ウェブサーバーに残っているデータを拾い集めることができてしまう。OpenSSLを導入する企業やサービスにとっては大きな打撃となった。
1. OpenSSLの開発環境
暗号化ソフトOpenSSLを開発するプロジェクトメンバーの総数は11人だが、そのうち実際に関わるのはコンサルタント1人とプログラマー4人の5名だ。ほとんどのメンバーはボランティアなので他に本業を抱えている環境であり、人手が不足している。また、OpenSSLは寄付金にも依存しているが、資金不足も問題となっている。
2. 人員の少なさゆえにバグは見過ごされた
これは意図的ではなく組み込まれたバグであり、本来ならばコード作成の過程において、他プログラマーより発見されるべきものだった。しかし、人員の少なさゆえに、チェックが至らず見過ごされ、結果的に多数のウェブサイトへ多くの影響をもたらすこととなった。
3. 発覚後のOpenSSLの対応
OpenSSL側はバグのないクリーンな最新バージョンを公開し、各種企業やサービスに新しくインストールすることを勧めた。これにより、導入企業はシステムの完全なるリセットを行う必要が発生した。
4. ユーザー側はどのように対処すればよいのか
パスワードなど、保護に関わるデータは一度変更した方が良いと言われている。利用しているサービスが影響を受けた場合はもちろんのこと、影響があったか不明でも、変更しておくにこしたことはない。その理由は、どこでどうデータが閲覧され使用されたか、さかのぼることができないからにある。
まとめ
暗号化ソフトOpenSSLのバグ「ハートブリード」は世界中に衝撃をもたらした。だが、これは開発環境の人員の少なさなどから発生したミスといえるもので、今後もこの点について対策が求められるだろう。また、導入企業やサービスを利用するユーザーにおいては、最新バージョンのインストールやパスワードの変更といった素早い対応がもっとも大切である。
参考:
Jane Wakefield氏:Heartbleed bug: What you need to know
http://www.bbc.com/news/technology-26969629
DANNY YADRON氏:「ハートブリード」とは何か―基本5項目
http://jp.wsj.com/articles/SB10001424052702303433504579498863228091356