[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ | ScanNetSecurity
2020.08.08(土)

[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ

皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。

特集 特集
piyokango 氏
piyokango 氏 全 1 枚 拡大写真
# 編集長の一言

「セキュリティを生業とする人が絶対見るべきWebサイトは?」と聞かれたら、私は間違いなく piyokango氏の『piyolog』を上げます。

世の中に影響の大きいインシデントや脆弱性が出てくると、氏のサイトにまとめが登場するのを多くの人が待ち望んでいます(編集長の半径5m以内調べ)。セキュリティ業界にとどまらず、いろんな人や企業が資料のポインターとして指しまくっているのを見ると、実際『piyolog』の影響力を感じます。2013年に「情報セキュリティ業界に大きく貢献」したとして、個人でJNSAから表彰されているのもうなずけます。

そんな氏が書いた記事を読むのは、私自身楽しみにしていたので、読者の皆様より先に読むことができたのは役得でした。(上野宣)

--

皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。

今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。

実は記事として皆様にお伝えするのは初めての経験です。不慣れな面もあり、読みにくい箇所があるかもしれませんがどうかお付き合いを頂ければ幸いです。

簡単に私の自己紹介をしておきますと、TwitterやRSSリーダーを眺めながら、セキュリティに関連した出来事を朝から晩まで追いかけています。また、個人的に興味を惹いた出来事は「piyolog」というBlogに備忘録代わりに情報をまとめるようにしています。もしかしたらご覧になった方がいるかもしれません。


●4月はWeb関係者受難の月

さて4月に話題となったセキュリティのトピックといえばOpenSSLの脆弱性「HeartBleed」は外せないと思います。NHKを始め国内の一般メディアでも報道されたために、世間から注目を浴びることとなりました。普段脆弱性情報に興味がない人から突然「うちはハートブリード大丈夫だよね?」と聞かれた方も多かったのではないでしょうか。Webに係る方にとっては忙しい年度初めだったのではないかと思います。

HeartBleedはGoogleとフィンランドのセキュリティベンダCodenomiconの2つの企業により奇しくも同じようなタイミングで別々に報告された脆弱性で、4月8日(日本時間)に公開されました。ちなみに”HeartBleed”の名付け親やハートマークのロゴの作成を行ったのはCodenomiconです。
OpenSSLを使っている製品は世の中に多く存在することもあり、セキュリティコミュニティやWeb関係者の間ではすぐに話題に上がったのですが、日本国内で多くの人に知れ渡るようになったのは12日前後に一般メディアが取り上げてからではないかと思います。(私はといえば、8日10時頃にTwitterを通じて知りました。)

HeartBleedは脆弱性の検証コードが早くもインターネット上に公開され、さらにこの検証コードを元に多くの検証サイトや検証ツールが登場し始めました。HeartBleedの検証サイトはWebサイトのURLを入力するだけで検証が可能で、技術に詳しくない人でも簡単に使うことが出来ました。またAlexaのドメインリストを元に、有名なWebサイトに対して脆弱性の有無を検証しその結果を公開する人(組織)も出始め、脆弱性公開後すぐにHeartBleedがインターネット上を飛び交うお祭り状態になったようです…

※本記事は明日配信の有料版メールマガジンScanに全文を掲載します


---
piyokango氏 の HeartBleed の記事の感想や、今後取り扱って欲しいテーマ、話題をお持ちの方は、 scan@netsecurity.ne.jp までお気軽にお寄せ下さい(編集部)

《piyokango》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary]

    ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary]

  2. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  3. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  4. 黒塗り交付の開示資料、強い光で文字が判別可能(和歌山市)

    黒塗り交付の開示資料、強い光で文字が判別可能(和歌山市)

  5. COVID-19脅威レポートを発表、クラウドサービスを標的とした外部脅威が630%増加(マカフィー)

    COVID-19脅威レポートを発表、クラウドサービスを標的とした外部脅威が630%増加(マカフィー)

  6. 夏休みのセキュリティ注意喚起、今年はテレワーク勤務者の注意事項も紹介(IPA)

    夏休みのセキュリティ注意喚起、今年はテレワーク勤務者の注意事項も紹介(IPA)

  7. いつもと違う夏 ~ FFRI 鵜飼裕司の Black Hat USA 2020 注目セッション

    いつもと違う夏 ~ FFRI 鵜飼裕司の Black Hat USA 2020 注目セッション

  8. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

  9. テレワーク実施実態調査:都道府県別・業界別・職種別

    テレワーク実施実態調査:都道府県別・業界別・職種別

  10. 脆弱性「Ripple20」の対象プリンタ名公開、操作停止やメモリ破壊を引き起こす可能性(リコー)

    脆弱性「Ripple20」の対象プリンタ名公開、操作停止やメモリ破壊を引き起こす可能性(リコー)

ランキングをもっと見る