[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ

＃編集長の一言

「セキュリティを生業とする人が絶対見るべきWebサイトは？」と聞かれたら、私は間違いなく piyokango氏の『piyolog』を上げます。

世の中に影響の大きいインシデントや脆弱性が出てくると、氏のサイトにまとめが登場するのを多くの人が待ち望んでいます（編集長の半径5m以内調べ）。セキュリティ業界にとどまらず、いろんな人や企業が資料のポインターとして指しまくっているのを見ると、実際『piyolog』の影響力を感じます。2013年に「情報セキュリティ業界に大きく貢献」したとして、個人でJNSAから表彰されているのもうなずけます。

そんな氏が書いた記事を読むのは、私自身楽しみにしていたので、読者の皆様より先に読むことができたのは役得でした。（上野宣）

--

皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。

今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。

実は記事として皆様にお伝えするのは初めての経験です。不慣れな面もあり、読みにくい箇所があるかもしれませんがどうかお付き合いを頂ければ幸いです。

簡単に私の自己紹介をしておきますと、TwitterやRSSリーダーを眺めながら、セキュリティに関連した出来事を朝から晩まで追いかけています。また、個人的に興味を惹いた出来事は「piyolog」というBlogに備忘録代わりに情報をまとめるようにしています。もしかしたらご覧になった方がいるかもしれません。

●4月はWeb関係者受難の月

さて4月に話題となったセキュリティのトピックといえばOpenSSLの脆弱性「HeartBleed」は外せないと思います。NHKを始め国内の一般メディアでも報道されたために、世間から注目を浴びることとなりました。普段脆弱性情報に興味がない人から突然「うちはハートブリード大丈夫だよね？」と聞かれた方も多かったのではないでしょうか。Webに係る方にとっては忙しい年度初めだったのではないかと思います。

HeartBleedはGoogleとフィンランドのセキュリティベンダCodenomiconの2つの企業により奇しくも同じようなタイミングで別々に報告された脆弱性で、4月8日（日本時間）に公開されました。ちなみに”HeartBleed”の名付け親やハートマークのロゴの作成を行ったのはCodenomiconです。
OpenSSLを使っている製品は世の中に多く存在することもあり、セキュリティコミュニティやWeb関係者の間ではすぐに話題に上がったのですが、日本国内で多くの人に知れ渡るようになったのは12日前後に一般メディアが取り上げてからではないかと思います。（私はといえば、8日10時頃にTwitterを通じて知りました。）

HeartBleedは脆弱性の検証コードが早くもインターネット上に公開され、さらにこの検証コードを元に多くの検証サイトや検証ツールが登場し始めました。HeartBleedの検証サイトはWebサイトのURLを入力するだけで検証が可能で、技術に詳しくない人でも簡単に使うことが出来ました。またAlexaのドメインリストを元に、有名なWebサイトに対して脆弱性の有無を検証しその結果を公開する人（組織）も出始め、脆弱性公開後すぐにHeartBleedがインターネット上を飛び交うお祭り状態になったようです…

※本記事は明日配信の有料版メールマガジンScanに全文を掲載します

---
piyokango氏の HeartBleed の記事の感想や、今後取り扱って欲しいテーマ、話題をお持ちの方は、 scan@netsecurity.ne.jp までお気軽にお寄せ下さい（編集部）