Search

ハートブリード

2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグ

ハートブリード英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグのことである。当時、信頼された認証局から証明書が発行されているインターネット上のWebサーバの約17%(約50万台)で、この脆弱性が存在するHeartbeat拡張が有効になっており、サーバーの秘密鍵や利用者のセッション・クッキーパスワードを盗み出すことが出来る可能性があった[3][4][5][6][7]

ハートブリードのロゴ。ロゴと「心臓出血」の名称はこの問題に衆目を集めて、啓蒙するために作られた[1][2]

経緯

OpenSSLの脆弱性がCVSレポジトリに混入したのは2011年12月31日であり、原因はロビン・セゲルマンが提出し[8][9]、OpenSSLの開発チームがレビュー[要曖昧さ回避](審査)[10] した善意のパッチ(改善コード)である。脆弱性が混入したコードはOpenSSL バージョン1.0.1に幅広く採用され、2012年3月14日に公開された[11][12]

2014年4月、Googleのセキュリティーチームのニール・メータが2012年3月14日以降のOpenSSL 1.0.1シリーズの全ての版にバグ(不具合)があると発表した。このバグはTransport Layer Security(TLS)のハートビート拡張プログラムのサーバーメモリ操作のエラー処理にあった[13][14] 。このバグは生存確認信号(Heartbeat)の発信毎に、アプリケーションメモリーを64キロバイトずつ露出する可能性があった[14]。このバグは不適切なハートビート要求をサーバーに送信し、サーバーが返信する際に実行される。サーバーは通常は受け取った情報と同じ大きさのデータのバッファー(塊)を返信するが、バグにより境界検査が欠けていたので、バグがあるバージョンのOpenSSLはハートビート要求の大きさの妥当性を確認しない。その結果、攻撃者はサーバーのメモリを好きな大きさで見ることが出来る[15]。このバグには共通脆弱性識別子識別番号CVE-2014-0160が割り当てられた[16]

このバグをHeartbleed(心臓出血)と命名し、ロゴを作り、Heartbleed.comドメインを立ち上げてバグの説明を公開したのは、フィンランドのサイバーセキュリティ会社コデノミコンの3人の技術者である[17]。コデノミコン社によると、最初にOpenSSLのバグを公表したのはGoogleのセキュリティーチームのニール・メータだが、コデノミコン社も独自に新しく開発中だった、暗号化、認証プロセスのテストツール検証の過程で発見していた[11]。メータは詳細は語らずに、コデノミコン社を賞賛した[18]

監査ログの調査によると、数人の攻撃者は問題発覚の少なくとも5ヶ月前に欠陥を発見していた[19][20][21]ブルームバーグに対し2人の内部情報源は、アメリカ国家安全保障局は欠陥が混入してから短期間の内に欠陥に気づいたが、公表する代わりに秘密にして、欠陥を自分達の任務のために使うことにしたと証言した[22][23][24]。しかしNSAはこの訴えを否定している[25]

基本的な対策はハートビートを使用しない(-DOPENSSL_NO_HEARTBEATS オプションを付けて再コンパイルする)か、脆弱性を修正したバージョン(1.0.1g以降)への更新となる[14]

沿革

日付は各地の現地時間。

  • 2011年
    • 12月31日 - OpenSSLのソースコードにハートブリード・バグが混入。
  • 2012年
    • 3月14日 - OpenSSLがバグに気づかないまま、OpenSSL 1.0.1を公開[26]
  • 2014年
    • 3月31日 - CloudFlare社が自社製品を修正[27]
    • 4月1日 - Googleのセキュリティーチームのニール・メータが、OpenSSLにハートブリード・バグを報告[28]
    • 4月3日 - コデノミコン社がNCSC-FI(旧CERT-FI)にハートブリード・バグを報告[11]
    • 4月7日 - OpenSSLがバグを修正したOpenSSL 1.0.1gを公開[26]
    • 4月8日 - ウィキメディア財団が利用者にパスワードの変更を呼びかけ[29]カナダ歳入庁は脆弱性を確認し、サービスの公開を停止した[30]
    • 4月10日 - 警察庁が日本国内における脆弱性を標的としたパケットの増加を観測したことを発表した[31]
    • 4月11日 - 三菱UFJニコスで不正閲覧事件が発生。894人のWEB会員の個人情報が不正閲覧された[32]
    • 4月14日 - カナダ歳入庁が不正閲覧を発表。900人の納税者の社会保障番号が不正閲覧された[30]
    • 4月16日 - カナダ歳入庁から個人情報を盗み出した犯人が捕まる[33][34]
    • 4月24日 - Linux Foundationが大手IT企業と共に「Core Infrastructure Initiative」を設立し、OpenSSLに援助を行う模様[35]

脚注

外部リンク

ウィキバーシティに:en:Managing risk from cyber attacksに関する学習教材があります。
https:https://www.search.com.vn/wiki/index.php?lang=ja&q=ハートブリード&oldid=100035143」から取得
🔥 Top keywords: メインページ特別:検索上戸彩エドワード・S・モースXG (音楽グループ)石丸伸二秋葉原通り魔事件山田昌蓮舫木村カエラ椎名林檎井上愛一郎杉浦太陽ブルース・リー渡部峻アンチヒーロー (テレビドラマ)岡崎慎司高橋里華河合優実MY FIRST STORY無職転生 〜異世界行ったら本気だす〜クリストファー・コロンブス古畑任三郎黎智英赤間麻里子髙嶋政伸怪獣8号若葉竜也山本未來小川博Z-1 (アイドルグループ)稲葉浩志眞栄田郷敦天野鎮雄石川さゆり長谷川博己ノーマンズランド三上悠亜森内寛樹