OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register) | ScanNetSecurity
2020.02.20(木)

OpenSSL の Heartbleed 大解剖:たった 4 バイトが引き起こす恐怖のバグ~「C 爆弾」のコードが世界に投下される(The Register)

そのメモリには、メッセージやパスワードなどといった旨みのある情報が含まれている。そして別の heartbeatMessage を送信することにより、別の 64KB が漏えいされるため、被害者のシステムを徹底的に調査して御馳走を得るよう、それは繰り返される。

国際 TheRegister
【分析】パスワードを漏らす OpenSSL のバグ、通称「Heartbleed」は非常に悪質で、「しばらくの間はインターネットを利用しないこと」が良い対策であるようにすら思われるものだ。

この幅広く利用されている暗号化ライブラリに見つかった欠陥は、誰もが手軽に、そして密かに、脆弱なシステム(あなたの銀行の HTTPS サーバからプライベート VPN に至るまで)に手をつけ、パスワードやログインクッキー、プライベート暗号キー、その他を盗むことができるようにする。

この 2014 年に、なぜ、そのようなことが起こりえたのか?

Metasploit による、このエクスプロイトのためのシンプルなスクリプトは、「OpenSSL1.0.1 から 1.0.1f を利用して TLS 暗号化を行っているシステム」からセンシティブなインメモリデータを抽出することができる。我々が聞かされている情報によると、このバグは「信頼されているHTTPS のウェブサイト、ならびにクライアントソフトウェア、メールサーバ、チャットサービス、その他、前述のバージョンの OpenSSL を使用したもの」の約 17.5%、約 50 万件に影響を及ぼすものであるという。

この脆弱性が月曜(編集部註:2014 年 4 月 7 日)に発表されたことを受け、現在では、かなりの数の大手ウェブサービスが修復を済ませた;あなたはこのツールを使って確認することができる(もちろん、利用は自己責任でお願いしたい)。だが、もしもあなたが影響を受けている場合は、OpenSSL のインストールを修復するだけでなく、くれぐれも以下のことを忘れないでほしい――キーの変更、セッションクッキーの削除、そしてあなたのデータの危険性の評価だ。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. gmai.com ドメインは実在、タイプミス誤送信 法人情報流出(新潟県)

    gmai.com ドメインは実在、タイプミス誤送信 法人情報流出(新潟県)

  2. ハードディスクのデータ消去メニューに「磁気消去」「物理破壊」を追加(AOSデータ)

    ハードディスクのデータ消去メニューに「磁気消去」「物理破壊」を追加(AOSデータ)

  3. 保有ドメインへ不正アクセス、迷惑メール送信の踏み台に(日本郵便)

    保有ドメインへ不正アクセス、迷惑メール送信の踏み台に(日本郵便)

  4. ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ  (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

    ScanNetSecurity BASIC MEMBERS 会員限定記事 ログインパスワード発行 URL のおしらせ (対象:2015 年7 月 15 日 より前に無料メルマガ「Scan BASIC」の読者であったみなさま)

  5. JR山手線で寝ている間にUSBメモリやノートPC置き引き(筑波大学附属高等学校)

    JR山手線で寝ている間にUSBメモリやノートPC置き引き(筑波大学附属高等学校)

  6. 新型コロナウイルスに関する注意喚起メール誤送信、24事業者アドレス流出(神戸市)

    新型コロナウイルスに関する注意喚起メール誤送信、24事業者アドレス流出(神戸市)

  7. Windows版「ウイルスバスター クラウド」にDoSの脆弱性(トレンドマイクロ、JVN)

    Windows版「ウイルスバスター クラウド」にDoSの脆弱性(トレンドマイクロ、JVN)

  8. 厳格化するサイバー規制とダークウェブ活動、そこに相関は?

    厳格化するサイバー規制とダークウェブ活動、そこに相関は?

  9. 学生がUSBメモリ紛失、実習で作成した個人情報を保存(天使大学)

    学生がUSBメモリ紛失、実習で作成した個人情報を保存(天使大学)

  10. NEC製のWi-Fiホームルータ製品に複数の脆弱性(JVN)

    NEC製のWi-Fiホームルータ製品に複数の脆弱性(JVN)

ランキングをもっと見る