OpenSSLの深刻なバグ“Heartbleed” <br />脆弱性が及ぼす影響はWebサイトにとどまらないアビバ・リタン ガートナー リサーチ部門 バイス・プレジデント兼上級アナリスト

 いまや誰もがご存じのように、“Heartbleed”はきわめて深刻なバグで、Open SSLのバージョン1.0.1から1.0.1.fの利用者すべてに影響を及ぼす。皮肉なことに、常に最新版のOpen SSLをアップデートしていたユーザーはみな不利益を被ったのだ。

 脆弱性に関する詳しい情報は、kb.cert.org へ。

 私が疑問に思っているのは、なぜすべての報道が個々人のWebサイトとのコミュニケーションだけに焦点を当てているのかということだ。問題はそこだけにはとどまらないはずだ。Open SSLを含むSSLプロトコルは、ほとんどの“信頼に値する”機器同士の双方向通信で用いられている。言い換えると、Heartbleedバグは送受信者を認証し、情報の暗号化のためにプロトコルをサポートするルーターやスイッチ、オペレーティングシステム、その他アプリケーションの全てに影響を与えるのだ。

 被害を受けた会社の一覧は、kb.cert.com へ。

もはや機密情報の安全は担保されない

 したがって、SSLプロトコルを使用することで信頼性を確保していた通信トラフィックのすべての信頼性が根本から揺らいでしまっているのが実情だ。

 これは、個人的な“ハンドシェイク”やWebサイトを使った通信の枠をはるかに超えている。暗号化ライブラリにバックドア(裏口)を仕込んだのはNSA(アメリカ国家安全保障局)だとされているが、本稿ではあえて触れないことにしよう。しかし、バックドアがすでに組み込まれているのはれっきとした事実だ。