広く使用されているオープンソースのリモートログインソフトウェア「OpenSSH」に重大な欠陥を発見したと主張するハッカーらは、おそらくはったりである、とプロジェクトに関係する開発者は述べている。
OpenSSH は、Unix ベースのシステムに安全にリモートでログインするために使用され、IBM、Hewlett-Packard、Cisco Systems、Red Hat などのベンダーが製造する多数のオペレーティング システム、ルーター、スイッチに組み込まれています。
Pastebin上で、ハッカーたちは2年前にOpenSSHに脆弱性を発見し、サーバーからリモートでデータにアクセス可能になったと主張しています。この脆弱性を悪用することで、システムユーザーのハッシュ、キー、その他のランダムデータが漏洩する可能性があると主張しています。
ハッカーたちは、ハニーポット(研究者が自分のコンピュータが攻撃されるかどうかを調査するために設置する罠)を設置したと主張しており、別のグループもこの脆弱性を発見している可能性があると示唆している。そのため、彼らはこの脆弱性の詳細を20ビットコイン(約8,600ドル)で販売する意向を示している。
「我々はブラックマーケットを利用する手段を持っていません。ですから、ブラックハット派とホワイトハット派の両方にこれを販売できることを嬉しく思います」と彼らは書いている。
彼らの主張は即座に懐疑的な反応を示した。OpenSSHを含むOpenBSDプロジェクトの創設者であるテオ・デ・ラート氏は、このような主張はおよそ6ヶ月ごとに起こると電子メールで述べている。
「それが本物だという証拠は見当たりません」とデ・ラート氏は書いている。「誰でも1、2時間でそのような文書を偽造できるでしょう。」
Pastebin に表示されたコードは、一般的な Unix コマンドで生成できるメモリ ダンプであると彼は書いています。
ハッカーたちは、SSL(Secure Sockets Layer)またはTLS(Transport Security Layer)暗号化を可能にする暗号ライブラリであるOpenSSLのHeartbleedバグの影響を悪用しようとしています。ほとんどのウェブサイトはSSLまたはTLSのいずれかを使用しており、ブラウザでは南京錠のアイコンで確認できます。
4月初旬に公表されたHeartbleedバグは、SSL秘密鍵やユーザー認証情報の抽出に悪用される可能性があり、深刻な脅威であったため、システム管理者によるパッチ適用の波を引き起こしました。また、資金不足に悩まされているオープンソースプロジェクトの問題にも注目を集めました。これらのプロジェクトのコードは、インターネットインフラ全体で広く利用されています。
OpenSSLと同様に、OpenSSHの脆弱性は大きなリスクをもたらします。広く使用されているにもかかわらず、OpenSSHは開発資金を寄付に依存しています。de Raadt氏によると、長年にわたりベンダーからのサポートはほとんど受けられていません。
OpenBSD Foundationの主要寄付者リストに名を連ねる大手企業は2社のみ。Facebookは、今年の15万ドルを目標としたキャンペーンに寄付を行った(主要寄付者リストによる)。Googleは過去3年間、支援者として名を連ねている。
Heartbleedにもかかわらず、重要なオープンソースプロジェクトを支援する熱意はすでに薄れつつあるようだとデ・ラート氏は語った。
「十分なビジョンがあるのかどうか、私には分かりません」と彼は書いた。「業界全体で、この最近の問題に対する無関心が既に広がりつつあります。他の場所では輝かしいことが起こっているのに、人々は忘れてしまっているのです。」
