[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ | ScanNetSecurity
2019.11.15(金)

[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ

皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。

特集 特集
piyokango 氏
piyokango 氏 全 1 枚 拡大写真
# 編集長の一言

「セキュリティを生業とする人が絶対見るべきWebサイトは?」と聞かれたら、私は間違いなく piyokango氏の『piyolog』を上げます。

世の中に影響の大きいインシデントや脆弱性が出てくると、氏のサイトにまとめが登場するのを多くの人が待ち望んでいます(編集長の半径5m以内調べ)。セキュリティ業界にとどまらず、いろんな人や企業が資料のポインターとして指しまくっているのを見ると、実際『piyolog』の影響力を感じます。2013年に「情報セキュリティ業界に大きく貢献」したとして、個人でJNSAから表彰されているのもうなずけます。

そんな氏が書いた記事を読むのは、私自身楽しみにしていたので、読者の皆様より先に読むことができたのは役得でした。(上野宣)

--

皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。

今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。

実は記事として皆様にお伝えするのは初めての経験です。不慣れな面もあり、読みにくい箇所があるかもしれませんがどうかお付き合いを頂ければ幸いです。

簡単に私の自己紹介をしておきますと、TwitterやRSSリーダーを眺めながら、セキュリティに関連した出来事を朝から晩まで追いかけています。また、個人的に興味を惹いた出来事は「piyolog」というBlogに備忘録代わりに情報をまとめるようにしています。もしかしたらご覧になった方がいるかもしれません。


●4月はWeb関係者受難の月

さて4月に話題となったセキュリティのトピックといえばOpenSSLの脆弱性「HeartBleed」は外せないと思います。NHKを始め国内の一般メディアでも報道されたために、世間から注目を浴びることとなりました。普段脆弱性情報に興味がない人から突然「うちはハートブリード大丈夫だよね?」と聞かれた方も多かったのではないでしょうか。Webに係る方にとっては忙しい年度初めだったのではないかと思います。

HeartBleedはGoogleとフィンランドのセキュリティベンダCodenomiconの2つの企業により奇しくも同じようなタイミングで別々に報告された脆弱性で、4月8日(日本時間)に公開されました。ちなみに”HeartBleed”の名付け親やハートマークのロゴの作成を行ったのはCodenomiconです。
OpenSSLを使っている製品は世の中に多く存在することもあり、セキュリティコミュニティやWeb関係者の間ではすぐに話題に上がったのですが、日本国内で多くの人に知れ渡るようになったのは12日前後に一般メディアが取り上げてからではないかと思います。(私はといえば、8日10時頃にTwitterを通じて知りました。)

HeartBleedは脆弱性の検証コードが早くもインターネット上に公開され、さらにこの検証コードを元に多くの検証サイトや検証ツールが登場し始めました。HeartBleedの検証サイトはWebサイトのURLを入力するだけで検証が可能で、技術に詳しくない人でも簡単に使うことが出来ました。またAlexaのドメインリストを元に、有名なWebサイトに対して脆弱性の有無を検証しその結果を公開する人(組織)も出始め、脆弱性公開後すぐにHeartBleedがインターネット上を飛び交うお祭り状態になったようです…

※本記事は明日配信の有料版メールマガジンScanに全文を掲載します


---
piyokango氏 の HeartBleed の記事の感想や、今後取り扱って欲しいテーマ、話題をお持ちの方は、 scan@netsecurity.ne.jp までお気軽にお寄せ下さい(編集部)

《piyokango》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

    メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

  2. CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

    CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

  3. サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

    サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

  4. 独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

    独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

  5. 重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

    重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

  6. 「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

    「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

  7. 「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

    「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

  8. Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

    Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

  9. 日米 ISAC間でサイバー脅威情報共有を強化(総務省)

    日米 ISAC間でサイバー脅威情報共有を強化(総務省)

  10. MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)

    MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)

ランキングをもっと見る