[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ | ScanNetSecurity
2020.01.25(土)

[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ

皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。

特集 特集
piyokango 氏
piyokango 氏 全 1 枚 拡大写真
# 編集長の一言

「セキュリティを生業とする人が絶対見るべきWebサイトは?」と聞かれたら、私は間違いなく piyokango氏の『piyolog』を上げます。

世の中に影響の大きいインシデントや脆弱性が出てくると、氏のサイトにまとめが登場するのを多くの人が待ち望んでいます(編集長の半径5m以内調べ)。セキュリティ業界にとどまらず、いろんな人や企業が資料のポインターとして指しまくっているのを見ると、実際『piyolog』の影響力を感じます。2013年に「情報セキュリティ業界に大きく貢献」したとして、個人でJNSAから表彰されているのもうなずけます。

そんな氏が書いた記事を読むのは、私自身楽しみにしていたので、読者の皆様より先に読むことができたのは役得でした。(上野宣)

--

皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。

今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。

実は記事として皆様にお伝えするのは初めての経験です。不慣れな面もあり、読みにくい箇所があるかもしれませんがどうかお付き合いを頂ければ幸いです。

簡単に私の自己紹介をしておきますと、TwitterやRSSリーダーを眺めながら、セキュリティに関連した出来事を朝から晩まで追いかけています。また、個人的に興味を惹いた出来事は「piyolog」というBlogに備忘録代わりに情報をまとめるようにしています。もしかしたらご覧になった方がいるかもしれません。


●4月はWeb関係者受難の月

さて4月に話題となったセキュリティのトピックといえばOpenSSLの脆弱性「HeartBleed」は外せないと思います。NHKを始め国内の一般メディアでも報道されたために、世間から注目を浴びることとなりました。普段脆弱性情報に興味がない人から突然「うちはハートブリード大丈夫だよね?」と聞かれた方も多かったのではないでしょうか。Webに係る方にとっては忙しい年度初めだったのではないかと思います。

HeartBleedはGoogleとフィンランドのセキュリティベンダCodenomiconの2つの企業により奇しくも同じようなタイミングで別々に報告された脆弱性で、4月8日(日本時間)に公開されました。ちなみに”HeartBleed”の名付け親やハートマークのロゴの作成を行ったのはCodenomiconです。
OpenSSLを使っている製品は世の中に多く存在することもあり、セキュリティコミュニティやWeb関係者の間ではすぐに話題に上がったのですが、日本国内で多くの人に知れ渡るようになったのは12日前後に一般メディアが取り上げてからではないかと思います。(私はといえば、8日10時頃にTwitterを通じて知りました。)

HeartBleedは脆弱性の検証コードが早くもインターネット上に公開され、さらにこの検証コードを元に多くの検証サイトや検証ツールが登場し始めました。HeartBleedの検証サイトはWebサイトのURLを入力するだけで検証が可能で、技術に詳しくない人でも簡単に使うことが出来ました。またAlexaのドメインリストを元に、有名なWebサイトに対して脆弱性の有無を検証しその結果を公開する人(組織)も出始め、脆弱性公開後すぐにHeartBleedがインターネット上を飛び交うお祭り状態になったようです…

※本記事は明日配信の有料版メールマガジンScanに全文を掲載します


---
piyokango氏 の HeartBleed の記事の感想や、今後取り扱って欲しいテーマ、話題をお持ちの方は、 scan@netsecurity.ne.jp までお気軽にお寄せ下さい(編集部)

《piyokango》

関連記事

この記事の写真

/

関連リンク

PageTop

特集

アクセスランキング

  1. 社内パソコンが「Emotet」に感染、取引先からの連絡で判明(岐阜新聞社)

    社内パソコンが「Emotet」に感染、取引先からの連絡で判明(岐阜新聞社)

  2. 「県税督促状」印刷ミス分を社外に持ち出し大阪駅のゴミ箱に廃棄(さくらケーシーエス)

    「県税督促状」印刷ミス分を社外に持ち出し大阪駅のゴミ箱に廃棄(さくらケーシーエス)

  3. マルウェアは「Emotet」が3カ月連続でトップに--月例レポート(チェック・ポイント)

    マルウェアは「Emotet」が3カ月連続でトップに--月例レポート(チェック・ポイント)

  4. 汚染された Tor ブラウザ、狙われるダークウェブ利用者

    汚染された Tor ブラウザ、狙われるダークウェブ利用者

  5. 富士ゼロックスの複数のスマホアプリに盗聴などが行われる脆弱性(JVN)

    富士ゼロックスの複数のスマホアプリに盗聴などが行われる脆弱性(JVN)

  6. インシデント報告、フィッシングサイトの割合が7割近くまで増加(JPCERT/CC)

    インシデント報告、フィッシングサイトの割合が7割近くまで増加(JPCERT/CC)

  7. iOS、Androidに過剰な利用料金課すフリースウェア、ルールの紙一重を突く(ソフォス)

    iOS、Androidに過剰な利用料金課すフリースウェア、ルールの紙一重を突く(ソフォス)

  8. 「IE」のJScriptスクリプトエンジンに未対策の脆弱性、悪用も確認(JVN)

    「IE」のJScriptスクリプトエンジンに未対策の脆弱性、悪用も確認(JVN)

  9. 脆弱性診断の「T型フォード」、技術標準化は学生のセキュリティ業界就職の可能性広げるか

    脆弱性診断の「T型フォード」、技術標準化は学生のセキュリティ業界就職の可能性広げるかPR

  10. 不正アクセスによる情報流出、送信ファイルを特定するためのログを攻撃者が消去(三菱電機)

    不正アクセスによる情報流出、送信ファイルを特定するためのログを攻撃者が消去(三菱電機)

ランキングをもっと見る
TOP