これが起こると予想できたはずです。
今週、SSL暗号化プロトコルのオープンソースOpenSSL実装における小さなエラーが、インターネット上の数十万ものウェブサイトとネットワーク機器のセキュリティに大きな穴を開けてしまったことが明らかになりました。しかも、この穴は何年も前から無防備な状態にあり、悪用される可能性がありました。パスワードは簡単に盗まれる可能性がありました。パスワードに一致するユーザー名も簡単に盗まれる可能性がありました。ユーザーデータさえも簡単に盗まれる可能性がありました。この壊滅的なバグに付けられた「Heartbleed(ハートブリード)」という呼び名は、まさにうってつけのものでした。
そして金曜日の午後、ブルームバーグは「事情に詳しい二人」の話として、国家安全保障局が少なくとも丸2年にわたりハートブリードバグを認識し、積極的に悪用していたと報じた。
皮肉なことに、この報告書は、米国国土安全保障省がハートブリードに関する警告を発したのと同じ日に発表された。同省は、「現時点でこの特定の脆弱性に関連する攻撃や悪意のあるインシデントの報告はないが、サイバー空間の悪意のある行為者がパッチ未適用のシステムを悪用する可能性は依然としてある」と述べている。
NSAの懸念が続く
NSA本部。
この疑惑は、内部告発者エドワード・スノーデンによって暴露された事実をいまだに受け入れるのに苦慮している安全保障界に大騒動を引き起こすことは間違いないだろう。
スノーデン氏が記者に提供した流出したNSA文書は、NSAが広範囲に、そして多くの場合国内に監視網を広げ、アメリカ人の電子メールやウェブ検索をスパイし、スマートフォンから大量のメタデータを収集し、さらにはYahooやGoogleのようなインターネット大手の内部通信インフラに侵入していたことを明らかにした。
9 月にスノーデンが暴露した内容により、NSA は今日の暗号化技術の多くを簡単に破ることができることが明らかになりました。また、今では予見されていたように思われる余談ですが、SSL プロトコルは当時、NSA にとって特に好まれるターゲットであると噂されていました。
NSAの担当者は、この報道についてブルームバーグの取材に対しコメントを拒否した。 追記: NSAのTwitterアカウントが以下のように投稿した。
声明: NSA は最近特定された Heartbleed の脆弱性について、公表されるまで認識していませんでした。
— NSA/CSS (@NSA_PAO) 2014年4月11日
何ができるでしょうか?
Heartbleedの壊滅的な被害を受けて、オープンソースソフトウェアのセキュリティが議論されている一方で、Webは既にこのバグによる甚大な被害から回復しつつあります。OpenSSLにはHeartbleedの修正プログラムが既に存在し、多くのウェブサイト管理者が急いで導入を進めています。
XKCDが見事にまとめているように、ウェブサーバーのRAMに保存されている情報が公開されるHeartbleedバグの性質を考えると、パスワードを変更したり、脆弱性があったにもかかわらずまだ修正されていないサイトにアクセスしたりするのは避けたいものです。PCWorldのHeartbleed対策に関する包括的なガイドを必ずお読みください。また、このバグの影響を受けたことが知られているサイトに関する当社の報道もご覧ください。
この記事はもともと 2014 年 4 月 11 日午後 4 時 11 分 (東部時間) に公開されましたが、NSA の回答を受けて午後 5 時 12 分 (東部時間) に更新されました。
