Heartbleedと名付けられたOpenSSLの脆弱性が見つかる

2014年4月7日、暗号化通信機能のOpenSSLに深刻な脆弱性が明らかにされました。影響の大きさから、この脆弱性はHeartbleed(心臓出血)と名付けられました。この脆弱性を突かれると、暗号化の秘密鍵、ユーザー名、パスワードなどの重要情報が漏えいしてしまします。
 

Heartbleedが存在するバージョン

Heartbleed対策としては、脆弱性を解消したバージョンへアップデートしなければならないです。なお、Heartbleedが存在するバージョンは、「1.0.1」から「同1.0.1f」と、「1.0.2-beta」から「1.0.2-beta1」までとのことです。
 
警察庁では、アップデートの実施を注意喚起するとともに、さらに脆弱性が存在する状態でSSL証明書を外部公開していた場合は、秘密鍵が漏洩している可能性もあるとして、SSL証明書を失効させて再発行することを推奨しています。
 

攻撃手法

攻撃手法は、通信相手の稼働中を確認するために送るデータのサイズを細工して送信すると、通信相手が余計なデータも返送してしまうという脆弱性を突いて、その余計なデータを取得するものです。そこには秘密鍵、ユーザ名、パスワードが含まれる可能性があるわけです。
 

被害事例

被害事例は、三菱UFJニコスでHeartbleedの脆弱性を悪用されたことを特定しており、894人分のカード番号を含む個人情報が流出した恐れがあるというものです。