【4月11日 AFP】インターネットのセキュリティーに見つかったバグ「ハートブリード(Heartbleed、心臓出血)」は、当初考えられていたよりも広範囲に広がっており、その名の示す通り致命的な問題となっている。

 ハートブリードは、ソフトウエアプラットホーム「OpenSSL」で発見されたバグ。OpenSSLは、信頼できるものだと私たちが教わってきた「https」で始まるウェブサイトの暗号化通信機能で使われている。バグを悪用すると、コンピューターのメモリー上からデータのパケットを取得することが可能で、パスワードや暗号鍵などの貴重な情報が盗まれる恐れがある。

 このバグは、問題となっているOpenSSLのバージョンがリリースされて以降、約2年間にわたって存在していた。現在はウェブ管理者らが安全なバージョンのOpenSSLへのアップデートを急ピッチで進めている。

 ハートブリードは従業員が出先で会社に安全にアクセスするために利用されているVPNソフトウエアにも存在している。また、米通信機器大手のシスコシステムズ(Cisco Systems)とジュニパーネットワークス(Juniper Networks)は10日、両社の一部機器がこのバグの影響を受ける恐れがあると発表した。

「盗まれた秘密鍵を使えば、保護されたサービスの過去と未来のあらゆる通信を解読することが可能で、そのサービスになりすますことも可能だ」と、この問題の詳細をまとめたウェブサイト「heartbleed.com」は述べている。

■対策にはまだ時間必要

 オンラインセキュリティー会社トラストウェーブ(Trustwave)のセキュリティー研究マネジャー、ジョン・ミラー(John Miller)氏はAFPに「ぜい弱性が公表される前に、ハートブリードがどれほど活発に悪用されていたのか、われわれは分からない」と語った。「公表された7日以降には、かなり多くの悪用があった。インターネットの至る所で、この攻撃が実行されていた」

 大手ウェブサイトやサービスには事前にハートブリードのバグの情報が伝えられ、バグが公表される前に対策を終える時間が与えられた。ミラー氏らセキュリティー専門家は、ハートブリードについて、OpenSSLのコード記述における誤りが原因とみられると語っている。

 ソフトウエアの対策やアップデートは急ピッチで進められているが、ウェブサイトや企業、ルーターメーカーがソフトウエア鍵を交換し終えるには、まだ時間がかかりそうだ。また、ウェブサイトは、サイトの信頼性を示す証明書を再発行する必要がある。

 インターネット利用者は、利用するサービスでハートブリードの対策が終わり、証明書が再発行されたことを確認した上で、オンラインのアカウントのパスワードを変更することが推奨されている。(c)AFP/Glenn CHAPMAN