ダイヤモンド社のビジネス情報サイト

ネットの脆弱性はいまや生活の一部
自分で情報を集め、身を守るしかない

瀧口範子 [ジャーナリスト]
【第294回】 2014年5月7日
著者・コラム紹介バックナンバー
1
nextpage

2年間放置されていた
OpenSSLの脆弱性

 ここ最近は、ネットの脆弱性を痛感するできごとがいくつも続いた。

 ひとつは、4月初めに明らかになった「OpenSSL」における脆弱性だ。OpenSSLは、暗号通信プロトコルを実装したオープンソースのライブラリーで、幅広く用いられてきたものだ。ウェブサイトやアプリケーションでデータが暗号化されていれば、サーバーからデータを出し入れする際に用いられているのがOpenSSLである確率は高い。インターネットサイトの50%を支えているアパッチ・ウェブサーバーもOpenSSLを用いている。従って、その脆弱性はかなり深刻な問題だ。

 ことに脆弱性がさかのぼること過去2年間にわたって存在していたことは、インターネット関係者全員を震撼させた。暗号化されるデータには、ユーザーネーム、パスワード、クレジットカード情報なども含まれ、ハッカーらが脆弱性を突いてそれらをごっそりと入手することも可能だった。しかも、形跡もなしにそれができたという。

 あまりに核心的なものだったため、このセキュリティーバグは「ハートブリード(心臓出血)」と名付けられた。そう名付けたフィンランドのセキュリティー会社は、この問題を広く知らしめるために、ハードブリードのロゴをデザイン、また専用サイトも設けた。

 もうひとつの脆弱性問題は、マイクロソフトのウェブブラウザー、インターネットエクスプローラー(IE)に関するものだ。こちらはさる4月26日に明るみに出たもので、IE6~11と現在用いられているほぼすべてのバージョンで、セキュリティーホールがあると大騒ぎになった。このセキュリティーホールを通して細工の施されたサイトへ誘導され、その結果ユーザーのコンピュータがすっかり乗っ取られる危険があるというものだ。

 IEは、現在世界で利用されているデスクトップブラウザーの58%を占めているため、世界中が混乱したのも無理はない。今回は、脆弱性が明らかになった時にはすでに攻撃が行われており、修正パッチが間に合わないという「ゼロデイ攻撃」にあたる。

 このふたつのケースでは、いずれも脆弱性が明らかになって間もなく修正が行われた。OpenSSLの場合は、資金も人手も乏しいなかでオープンソースで開発が行われてきた環境を底上げし、今後同じような脆弱性の問題が起きないようにするために、テクノロジー企業が共同で支援を行うという動きにもつながった。また、IEのケースでは、マイクロソフトがサポート期限を超えたWindows XPも対象に入れて、数日後に修正パッチを発行した。

1
nextpage
スペシャル・インフォメーションPR
IT&ビジネス
関連記事
クチコミ・コメント
facebookもチェック

瀧口範子 [ジャーナリスト]

シリコンバレー在住。著書に『行動主義: レム・コールハース ドキュメント』『にほんの建築家: 伊東豊雄観察記』(共にTOTO出版)。7月に『なぜシリコンバレーではゴミを分別しないのか?世界一IQが高い町の「壁なし」思考習慣』(プレジデント)を刊行。


ビジネスモデルの破壊者たち

シュンペーターの創造的破壊を地で行く世界の革新企業の最新動向と未来戦略を、シリコンバレー在住のジャーナリストがつぶさに分析します。

「ビジネスモデルの破壊者たち」

⇒バックナンバー一覧