OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register) | ScanNetSecurity
2026.07.15(水)

OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register)

そのメモリには、メッセージやパスワードなどといった旨みのある情報が含まれている。そして別の heartbeatMessage を送信することにより、別の 64KB が漏えいされるため、被害者のシステムを徹底的に調査して御馳走を得るよう、それは繰り返される。

国際 TheRegister
【分析】パスワードを漏らす OpenSSL のバグ、通称「Heartbleed」は非常に悪質で、「しばらくの間はインターネットを利用しないこと」が良い対策であるようにすら思われるものだ。

この幅広く利用されている暗号化ライブラリに見つかった欠陥は、誰もが手軽に、そして密かに、脆弱なシステム(あなたの銀行の HTTPS サーバからプライベート VPN に至るまで)に手をつけ、パスワードやログインクッキー、プライベート暗号キー、その他を盗むことができるようにする。

この 2014 年に、なぜ、そのようなことが起こりえたのか?

Metasploit による、このエクスプロイトのためのシンプルなスクリプトは、「OpenSSL1.0.1 から 1.0.1f を利用して TLS 暗号化を行っているシステム」からセンシティブなインメモリデータを抽出することができる。我々が聞かされている情報によると、このバグは「信頼されているHTTPS のウェブサイト、ならびにクライアントソフトウェア、メールサーバ、チャットサービス、その他、前述のバージョンの OpenSSL を使用したもの」の約 17.5%、約 50 万件に影響を及ぼすものであるという。

この脆弱性が月曜(編集部註:2014 年 4 月 7 日)に発表されたことを受け、現在では、かなりの数の大手ウェブサービスが修復を済ませた;あなたはこのツールを使って確認することができる(もちろん、利用は自己責任でお願いしたい)。だが、もしもあなたが影響を受けている場合は、OpenSSL のインストールを修復するだけでなく、くれぐれも以下のことを忘れないでほしい――キーの変更、セッションクッキーの削除、そしてあなたのデータの危険性の評価だ。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  3. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  4. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

  5. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

ランキングをもっと見る
PageTop