2年間放置されていた
OpenSSLの脆弱性

 ここ最近は、ネットの脆弱性を痛感するできごとがいくつも続いた。

 ひとつは、4月初めに明らかになった「OpenSSL」における脆弱性だ。OpenSSLは、暗号通信プロトコルを実装したオープンソースのライブラリーで、幅広く用いられてきたものだ。ウェブサイトやアプリケーションでデータが暗号化されていれば、サーバーからデータを出し入れする際に用いられているのがOpenSSLである確率は高い。インターネットサイトの50%を支えているアパッチ・ウェブサーバーもOpenSSLを用いている。従って、その脆弱性はかなり深刻な問題だ。

 ことに脆弱性がさかのぼること過去2年間にわたって存在していたことは、インターネット関係者全員を震撼させた。暗号化されるデータには、ユーザーネーム、パスワード、クレジットカード情報なども含まれ、ハッカーらが脆弱性を突いてそれらをごっそりと入手することも可能だった。しかも、形跡もなしにそれができたという。

 あまりに核心的なものだったため、このセキュリティーバグは「ハートブリード(心臓出血)」と名付けられた。そう名付けたフィンランドのセキュリティー会社は、この問題を広く知らしめるために、ハードブリードのロゴをデザイン、また専用サイトも設けた。

 もうひとつの脆弱性問題は、マイクロソフトのウェブブラウザー、インターネットエクスプローラー(IE)に関するものだ。こちらはさる4月26日に明るみに出たもので、IE6~11と現在用いられているほぼすべてのバージョンで、セキュリティーホールがあると大騒ぎになった。このセキュリティーホールを通して細工の施されたサイトへ誘導され、その結果ユーザーのコンピュータがすっかり乗っ取られる危険があるというものだ。

 IEは、現在世界で利用されているデスクトップブラウザーの58%を占めているため、世界中が混乱したのも無理はない。今回は、脆弱性が明らかになった時にはすでに攻撃が行われており、修正パッチが間に合わないという「ゼロデイ攻撃」にあたる。

 このふたつのケースでは、いずれも脆弱性が明らかになって間もなく修正が行われた。OpenSSLの場合は、資金も人手も乏しいなかでオープンソースで開発が行われてきた環境を底上げし、今後同じような脆弱性の問題が起きないようにするために、テクノロジー企業が共同で支援を行うという動きにもつながった。また、IEのケースでは、マイクロソフトがサポート期限を超えたWindows XPも対象に入れて、数日後に修正パッチを発行した。