インターネット業界を震撼させた OpenSSL の重大な全世界規模の不具合が発覚しました。
一般のインターネット利用者は、この史実に残るレベルの事故について、
全く何も知らない方がほとんどです。

換言すれば、そのような事故を意識する必要なく済んでいるということであり、
その裏には技術者が慌てふためいて対応したという背景があります。

詳しい事故原因については割愛しますが、
今回の『ハートブリード』と呼ばれる不具合が、
どういったものなのか、概要だけでも知って頂きたく、
米セキュリティ会社の Codenomicon が作成した、『ハートブリード.com』のサイトを、
出来るだけ専門用語を省いた上で日本語に訳しました。

http://heartbleed.com/

概要

インターネットの通信内容を傍受されないように暗号化するための OpenSSL について、実に重大で危険な脆弱性『Heartbleed』が発見されました。通常は SSL/TLS という通信方式のお陰で保護されている重要な内容が、この不具合によって盗聴される可能性があります。SSL/TLS 通信はウェブサイトをはじめとする、Ｅメール、チャット、プライベートネットワーク (VPN) など様々なアプリケーションにおいて、安全性や個人情報を保護するために利用されています。

『Heartbleed』の不具合を悪用することで、インターネットに接続可能な誰もが、サーバ上の保護された情報やシステムを改竄したり、不正に取得することが出来ます。この脆弱性によって暗号化された通信内容が解読されると、通信内容や個人情報、パスワードなどの重要な情報が簡単に偸盗（ちゅうとう）されてしまいます。悪意を持った攻撃者に狙われた場合、チャットやメールの内容を読まれたり、インターネット上のサービスに登録している情報などが、知らない内に漏洩してしまう危険性があります。

実際にはどんな風に漏洩する？

米セキュリティ会社 Codenomicon が、SSL 通信方式の脆弱性を突いた攻撃によってどのような被害が齎（もたら）されるかを、自社サービスに対して調査しました。足跡を残すことなくサービスに対して攻撃を仕掛けることに成功し、管理者権限やパスワードなどが無くても、サーバ内に暗号化されているデータを復元するための鍵や、ユーザ名、パスワード、チャット、Ｅメール、社外秘文書、社内連絡内容などに至るまで、洗いざらいの情報が取得出来てしまいました。

漏洩を阻止するには？

脆弱性が確認されているバージョンの OpenSSL を使っている限り、悪用される危険性があります。不具合が修正されたバージョンの OpenSSL が発表されていますので、可及的速やかに更新を行う必要があります。OS の制作元や販売元、機器やソフトウェアの販売元は、この修正を適用し、また顧客にそれを周知するよう努めて下さい。そして、サービスの提供者や利用者は、自社(自分)が使用している OS やネットワーク機器、使用するソフトウェアについて、この脆弱性に対応したバージョンに更新しなければなりません。