[特別寄稿] OpenSSLの脆弱性「HeartBleed」振り返りのススメ
皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。
特集
特集
「セキュリティを生業とする人が絶対見るべきWebサイトは?」と聞かれたら、私は間違いなく piyokango氏の『piyolog』を上げます。
世の中に影響の大きいインシデントや脆弱性が出てくると、氏のサイトにまとめが登場するのを多くの人が待ち望んでいます(編集長の半径5m以内調べ)。セキュリティ業界にとどまらず、いろんな人や企業が資料のポインターとして指しまくっているのを見ると、実際『piyolog』の影響力を感じます。2013年に「情報セキュリティ業界に大きく貢献」したとして、個人でJNSAから表彰されているのもうなずけます。
そんな氏が書いた記事を読むのは、私自身楽しみにしていたので、読者の皆様より先に読むことができたのは役得でした。(上野宣)
--
皆様初めまして。piyokangoというハンドルネームでネットの片隅で活動している者です。
今回Scan編集長よりお声掛けを頂きまして、話題となった脆弱性やインシデントといったセキュリティ界隈の出来事を私の視点から皆様にお伝えをしていきたいと思います。
実は記事として皆様にお伝えするのは初めての経験です。不慣れな面もあり、読みにくい箇所があるかもしれませんがどうかお付き合いを頂ければ幸いです。
簡単に私の自己紹介をしておきますと、TwitterやRSSリーダーを眺めながら、セキュリティに関連した出来事を朝から晩まで追いかけています。また、個人的に興味を惹いた出来事は「piyolog」というBlogに備忘録代わりに情報をまとめるようにしています。もしかしたらご覧になった方がいるかもしれません。
●4月はWeb関係者受難の月
さて4月に話題となったセキュリティのトピックといえばOpenSSLの脆弱性「HeartBleed」は外せないと思います。NHKを始め国内の一般メディアでも報道されたために、世間から注目を浴びることとなりました。普段脆弱性情報に興味がない人から突然「うちはハートブリード大丈夫だよね?」と聞かれた方も多かったのではないでしょうか。Webに係る方にとっては忙しい年度初めだったのではないかと思います。
HeartBleedはGoogleとフィンランドのセキュリティベンダCodenomiconの2つの企業により奇しくも同じようなタイミングで別々に報告された脆弱性で、4月8日(日本時間)に公開されました。ちなみに”HeartBleed”の名付け親やハートマークのロゴの作成を行ったのはCodenomiconです。
OpenSSLを使っている製品は世の中に多く存在することもあり、セキュリティコミュニティやWeb関係者の間ではすぐに話題に上がったのですが、日本国内で多くの人に知れ渡るようになったのは12日前後に一般メディアが取り上げてからではないかと思います。(私はといえば、8日10時頃にTwitterを通じて知りました。)
HeartBleedは脆弱性の検証コードが早くもインターネット上に公開され、さらにこの検証コードを元に多くの検証サイトや検証ツールが登場し始めました。HeartBleedの検証サイトはWebサイトのURLを入力するだけで検証が可能で、技術に詳しくない人でも簡単に使うことが出来ました。またAlexaのドメインリストを元に、有名なWebサイトに対して脆弱性の有無を検証しその結果を公開する人(組織)も出始め、脆弱性公開後すぐにHeartBleedがインターネット上を飛び交うお祭り状態になったようです…
※本記事は明日配信の有料版メールマガジンScanに全文を掲載します
---
piyokango氏 の HeartBleed の記事の感想や、今後取り扱って欲しいテーマ、話題をお持ちの方は、 scan@netsecurity.ne.jp までお気軽にお寄せ下さい(編集部)
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
範を示す ~ MITRE がサイバー攻撃被害公表
「MITRE はこのインシデントを開示しました。これは当団体が公共の利益のために活動し、企業のセキュリティ強化のためのベストプラクティスを提唱し、業界の現在のサイバー防御体制強化に必要な措置を講ずると約束しているからです」
-
AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下
保険契約の申し込みや更新を処理するコストの低下を追求するあまり、保険会社は不正確な査定を行い、さらにはプライバシーを侵害するという最悪の方向に向かっているようだ。
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。