14/04/10 21:39:23.93 75HWI9lz0 BE:547453926-PLT(13000) ポイント特典
sssp://img.2ch.net/ico/gekisya.gif
ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11レベル?
サイトでクレジットカード番号入力しても鍵がかかるから大丈夫、という過去15年ぐらいの安心感を根底から覆すバグが検出され、世界各地でサイト管理者を震え上がらせています。
それに伴い、カナダ政府は確定申告のサービスを緊急閉鎖しました。
この件に関して、セキュリティの専門家Bruce Schneier氏(Co3社CTO兼EFF理事兼ハーバード大フェロー)は「壊滅的。10段階評価で考えると、これは11レベル」と青筋立てて叫んでいます。
このように一国の公共サービスも停止させる重大なバグの名前は「Heartbleed」。血を吹く心臓という意味です。これの何がどう怖いのか、少し説明していきます。
(中略)
OpenSSLは簡単に言うと、TLSやSSLの暗号化技術を迅速・簡単に装備できるオープンソースのパッケージなのですが、ここに「Heartbleed」の穴が何年も前(正確には2年前)からバックリ開いていたのでございます。
中が丸見え
ある特定の(結構広く使われてる)バージョンのOpenSSLのコードに小さなエラーがあるため、攻撃者はその脆弱性を突いてTLSやSSLの保護を破り、中の非公開の情報を見放題できるんです。秘密の握手も丸見え。
これで生じる問題は何点かあります。
まず、例えばユーザーが米Yahoo.comでメールアカウントにログインする際に攻撃者に秘密の握手を見られてしまうと、中の個人情報もその人に見られてしまいます。
ユーザーネーム、パスワードはもちろん、覗かれた時に何かの決済をしてたら、クレジットカード情報も全部筒抜けです。
もっと怖いのは、個人情報を預かってるサイト側がどう身分証明してるのか、そっちも見られてしまうこと。
握手(要するに公開鍵と秘密鍵の鍵ペア)の片側がバレると、攻撃者はもうなんでもできちゃいます。
中間者攻撃(Man in the Middle Attack)で手と手の間に入って、過去の決済を覗き見したり、サイトに入力した内容の傍受などやりたい放題です。
しかも窓を割って侵入するんじゃなく、鍵を使って入るので荒らされた痕跡も一切残りません。
(続く)