Global Knowledge Japan

Global Liner ~グローバルナレッジPRブログ~
ホーム > Global Liner ~グローバルナレッジPRブログ~ > Tips > <技術解説>3分でちょっとわかる「Heartbleed問題」と「SSL Heartbeat」

Global Liner ~グローバルナレッジPRブログ~
[2014年4月14日配信]
<技術解説>3分でちょっとわかる「Heartbleed問題」と「SSL Heartbeat」
執筆:横山 哲也

まずは、事実から。
グローバルナレッジのWebサイトはOpenSSLのぜい弱性の影響を受けません。理由は単純で、OpenSSLを使っていないからです。

という前置きを踏まえ、ここでは、今世間を騒がせているHeartbleed問題について簡単に技術解説しておきます。
heartbleed.png

◆そもそもSSL Heartbeatとは何か?

今回のぜい弱性は、比較的新しい(2011年12月頃、OpenSSLに導入された拡張機能)規格である「Heartbeat」のバグによるものです。Heartbeat(心臓の鼓動)のバグなのでHeartbleed(心臓出血)と呼ばれたようです。
そもそも「SSL Heartbeatとは何か」ということはほとんど報道されていないようですが、どうやらkeep-alive、つまり、データの送受信がなくても定期的にデータを送ることで通信セッションを維持する機能のようです。


◆なぜこのバグは発生したのか?

TCP通信にはkeep-aliveが備わっており、SSL専用の機能を実装するのは無駄だ
誰も必要としていない、必要ないものは使われない
使われないものはバグが混入していても気付かれない
今回の騒動は当然の帰結である

と指摘する人もいるようです(日本語による解説は、ブログ「本の虫」の「なぜTheo de RaadtはIETFに激怒しているのか」に詳しく記載されています)。

バグ自体は非常に単純なもので、C言語にありがちなミスです。こちらも日本語のブログだと「THE FIRST CRY OF ATOM」の「Heart Bleedを読んだ」に詳しく記載されていました。
オープンソースソフトウェアの良いところは、「多くの目玉」つまり、テスターが世界中にたくさんいて、迅速なフィードバックが得られる点です。しかし、職業的なテスターではないため、自分が使う機能しか使って(テストして)くれないという欠点もあります。先のブログで「IETFに激怒」というのは、誰も使わない機能を標準にしてしまったことに対する怒りです。


◆なぜこのバグが深刻化しているのか?
ソフトウェアにバグはつきものですから、バグがあったこと自体は非難できません。もちろん、バグを最小限に抑える努力はすべきですが、一定以上の規模のソフトウェアでゼロバグは事実上不可能です。
それより、バグが出たときの対応体制や、継続的な検査態勢を重視すべきです。オープンソースにも、もちろんこうした体制はあるわけですが、やはり使われていない機能に対する対応は難しいようです。


◆「SSL Heartbleed」対応策
SSL Heartbleedの対応策は、以下の通りとされています。

●Webサイト側で、SSLのぜい弱性を修正
●Webサイト側で、新しい証明書を取得
●ユーザーがパスワード変更

Webサイトで対応する前にパスワード変更をしても無意味ですのでご注意ください。

また、「対応したのでパスワードを変更しろ」という偽メールが出回っているようです。偽サイトでパスワードを入力すると、新しいパスワードがそのまま盗まれてしまいます。こちらの方が被害を受ける可能性は高そうですので、メールで来たパスワード変更依頼には十分注意してください。少なくともSSLで暗号化されていないサイトに接続すべきではありません。


◆これを機に、セキュリティを学びませんか?
グローバルナレッジでは、「セキュアプログラミング」のような、セキュリティホールを作らないためのプログラミングコースは提供していませんが、エンドユーザーからシステム管理者までを対象としたセキュリティ関連コースを各種取りそろえていますので、この機会にぜひご受講ください。

▼グローバルナレッジのセキュリティ関連コースはこちらから▼






[Tips]

 

※Microsoft、Windowsは、米国Microsoft社の登録商標です。
※Oracleは、米国オラクル・コーポレーションおよびその子会社、関連会社の米国およびその他の国における登録商標です。
※PMI、PMP、PMBOKは、プロジェクトマネジメント協会(Project Management Institute, Inc.)の登録商標です。
※ITIL®はAXELOS Limited の登録商標です。
※American Management Association は、米国アメリカン マネジメント アソシエーションの登録商標です。
※BOOT CAMP、NEW TRAIN、Glovalueはグローバルナレッジネットワーク株式会社の登録商標です。
※その他このサイトに掲載された社名、製品名は、各社の商標、または登録商標です。

© Global Knowledge Network Japan, Ltd. 2008-2016, All Rights Reserved.
  • Get ADOBE READER