ハートブリード

ハートブリード（英語: Heartbleed）とは、2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグのことである。当時、信頼された認証局から証明書が発行されているインターネット上のWebサーバの約17％（約50万台）で、この脆弱性が存在するHeartbeat拡張が有効になっており、サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る可能性があった^{[3][4][5][6][7]}。

ハートブリードのロゴ。ロゴと「心臓出血」の名称はこの問題に衆目を集めて、啓蒙するために作られた^[1][2]

経緯

OpenSSLの脆弱性がCVSレポジトリに混入したのは2011年12月31日であり、原因はロビン・セゲルマンが提出し^[8][9]、OpenSSLの開発チームがレビュー^{[要曖昧さ回避]}（審査）^[10] した善意のパッチ（改善コード）である。脆弱性が混入したコードはOpenSSL バージョン1.0.1に幅広く採用され、2012年3月14日に公開された^[11][12]。

2014年4月、Googleのセキュリティーチームのニール・メータが2012年3月14日以降のOpenSSL 1.0.1シリーズの全ての版にバグ（不具合）があると発表した。このバグはTransport Layer Security（TLS）のハートビート拡張プログラムのサーバーメモリ操作のエラー処理にあった^[13][14] 。このバグは生存確認信号（Heartbeat）の発信毎に、アプリケーションメモリーを64キロバイトずつ露出する可能性があった^[14]。このバグは不適切なハートビート要求をサーバーに送信し、サーバーが返信する際に実行される。サーバーは通常は受け取った情報と同じ大きさのデータのバッファー（塊）を返信するが、バグにより境界検査が欠けていたので、バグがあるバージョンのOpenSSLはハートビート要求の大きさの妥当性を確認しない。その結果、攻撃者はサーバーのメモリを好きな大きさで見ることが出来る^[15]。このバグには共通脆弱性識別子識別番号CVE-2014-0160が割り当てられた^[16]。

このバグをHeartbleed（心臓出血）と命名し、ロゴを作り、Heartbleed.comドメインを立ち上げてバグの説明を公開したのは、フィンランドのサイバーセキュリティ会社コデノミコンの3人の技術者である^[17]。コデノミコン社によると、最初にOpenSSLのバグを公表したのはGoogleのセキュリティーチームのニール・メータだが、コデノミコン社も独自に新しく開発中だった、暗号化、認証プロセスのテストツール検証の過程で発見していた^[11]。メータは詳細は語らずに、コデノミコン社を賞賛した^[18]。

監査ログの調査によると、数人の攻撃者は問題発覚の少なくとも5ヶ月前に欠陥を発見していた^[19][20][21]。ブルームバーグに対し2人の内部情報源は、アメリカ国家安全保障局は欠陥が混入してから短期間の内に欠陥に気づいたが、公表する代わりに秘密にして、欠陥を自分達の任務のために使うことにしたと証言した^[22][23][24]。しかしNSAはこの訴えを否定している^[25]。

基本的な対策はハートビートを使用しない（-DOPENSSL_NO_HEARTBEATS オプションを付けて再コンパイルする）か、脆弱性を修正したバージョン（1.0.1g以降）への更新となる^[14]。

沿革

日付は各地の現地時間。

• 2011年
  • 12月31日 - OpenSSLのソースコードにハートブリード・バグが混入。
• 2012年
  • 3月14日 - OpenSSLがバグに気づかないまま、OpenSSL 1.0.1を公開^[26]。
• 2014年
  • 3月31日 - CloudFlare社が自社製品を修正^[27]。
  • 4月1日 - Googleのセキュリティーチームのニール・メータが、OpenSSLにハートブリード・バグを報告^[28]。
  • 4月3日 - コデノミコン社がNCSC-FI（旧CERT-FI）にハートブリード・バグを報告^[11]。
  • 4月7日 - OpenSSLがバグを修正したOpenSSL 1.0.1gを公開^[26]。
  • 4月8日 - ウィキメディア財団が利用者にパスワードの変更を呼びかけ^[29]。 カナダ歳入庁は脆弱性を確認し、サービスの公開を停止した^[30]。
  • 4月10日 - 警察庁が日本国内における脆弱性を標的としたパケットの増加を観測したことを発表した^[31]。
  • 4月11日 - 三菱UFJニコスで不正閲覧事件が発生。894人のWEB会員の個人情報が不正閲覧された^[32]。
  • 4月14日 - カナダ歳入庁が不正閲覧を発表。900人の納税者の社会保障番号が不正閲覧された^[30]。
  • 4月16日 - カナダ歳入庁から個人情報を盗み出した犯人が捕まる^[33][34]。
  • 4月24日 - Linux Foundationが大手IT企業と共に「Core Infrastructure Initiative」を設立し、OpenSSLに援助を行う模様^[35]。

脚注

1. McKenzie, Patrick (April 9, 2014). “What Heartbleed Can Teach The OSS Community About Marketing”. April 10, 2014閲覧。
2. Biggs, John (April 9, 2014). “Heartbleed, The First Security Bug With A Cool Logo”. TechCrunch. April 10 2014閲覧。
3. Mutton, Paul (April 8, 2014). “Half a million widely trusted websites vulnerable to Heartbleed bug”. Netcraft Ltd.. April 8, 2014閲覧。
4. Perlroth, Nicole; Hardy, Quentin (April 11, 2014). “Heartbleed Flaw Could Reach to Digital Devices, Experts Say”. New York Times. http://www.nytimes.com/2014/04/11/business/security-flaw-could-reach-beyond-websites-to-digital-devices-experts-say.html April 11, 2014閲覧。
5. Chen, Brian X. (April 9, 2014). “Q. and A. on Heartbleed: A Flaw Missed by the Masses”. New York Times. http://bits.blogs.nytimes.com/2014/04/09/qa-on-heartbleed-a-flaw-missed-by-the-masses/ April 10, 2014閲覧。
6. Wood, Molly (April 10, 2014). “Flaw Calls for Altering Passwords, Experts Say”. New York Times. http://www.nytimes.com/2014/04/10/technology/flaw-calls-for-altering-passwords-experts-say.html April 10, 2014閲覧。
7. Manjoo, Farhad (April 10, 2014). “Users’ Stark Reminder: As Web Grows, It Grows Less Secure”. New York Times. http://www.nytimes.com/2014/04/10/technology/users-stark-reminder-as-web-grows-it-grows-less-secure.html April 10, 2014閲覧。
8. “Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately”. Sydney Morning Herald (2014年). 2014年4月13日閲覧。
9. “Programmer Behind Heartbleed Bug Speaks Out”. AOL on Tech (2014年4月11日). 2014年4月15日閲覧。
10. “#2658: [PATCH Add TLS/DTLS Heartbeats]”. OpenSSL (2011年). 2014年4月13日閲覧。
11. Codenomicon Ltd (April 8, 2014). “Heartbleed Bug”. April 8, 2014閲覧。
12. Goodin, Dan (April 8, 2014). “Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping”. Ars Technica. April 8, 2014閲覧。
13. Seggelmann, R. et al. (February 2012). “Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension”. RFC 6520. Internet Engineering Task Force (IETF). April 8, 2014閲覧。
14. OpenSSL.org (April 7, 2014). “OpenSSL Security Advisory [07 Apr 2014]”. April 9, 2014閲覧。
15. Troy Hunt (April 9, 2014). “Everything you need to know about the Heartbleed SSL bug”. April 10, 2014閲覧。
16. “CVE - CVE-2014-0160”. Cve.mitre.org. April 10, 2014閲覧。
17. “"Why is it called the ‘Heartbleed Bug’?"”. 2014年4月13日閲覧。
18. Mehta, Neel. “Don't forget to patch DTLS”. Twitter. April 11, 2014閲覧。
19. Gallagher, Sean (April 9, 2014). “Heartbleed vulnerability may have been exploited months before patch”. Ars Technica. April 10, 2014閲覧。
20. "No, we weren't scanning for hearbleed before April 7"
21. "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org
22. Riley, Michael. “NSA Said to Exploit Heartbleed Bug for Intelligence for Years”. Bloomberg. April 11, 2014閲覧。
23. “Report: NSA exploited Heartbleed for years”. Usatoday.com. April 11, 2014閲覧。
24. “NSA exploited Heartbleed bug for two years to gather intelligence, sources say | Financial Post”. Business.financialpost.com. April 11, 2014閲覧。
25. “Statement on Bloomberg News story that NSA knew about the “Heartbleed bug” flaw and regularly used it to gather critical intelligence”. NSA (April 11, 2014). 2014年4月13日閲覧。
26. “OpenSSL 1.0.1 Branch Release notes”. OpenSSL. 2014年4月14日閲覧。
27. “CloudFlare – Update on the Heartbleed OpenSSL Vulnerability”. 2014年4月27日閲覧。
28. “Mark J Cox – #Heartbleed”. April 12, 2014閲覧。
29. Grossmeier, Greg (April 8, 2014). “[Wikitech-l Fwd: Security precaution – Resetting all user sessions today]”. Wikimedia Foundation. April 9, 2014閲覧。
30. “Statement by the Commissioner of the Canada Revenue Agency on the Heartbleed bug”. Canada Revenue Agency (2014年4月14日). 2014年4月26日閲覧。
31. “OpenSSL の脆弱性を標的としたアクセスの増加について”. 警察庁セキュリティポータルサイト@police (2014年4月10日). 2014年4月26日閲覧。
32. “弊社会員専用WEBサービスへの不正アクセスにより一部のお客さま情報が不正閲覧された件”. 三菱UFJニコス (2014年4月18日). 2014年4月26日閲覧。
33. “「Heartbleed」悪用で初の逮捕者：カナダ当局発表”. wired.jp (2014年4月17日). 2014年4月26日閲覧。
34. “Heartbleed Bug Hacker Charged by RCMP”. 王立カナダ騎馬警察 (2014年4月16日). 2014年4月27日閲覧。
35. “Amazon Web Services、Cisco、Dell、Facebook、富士通、Google、IBM、Intel、Microsoft、NetApp、Rackspace、VMware、および The Linux Foundation がクリティカルなオープン ソース プロジェクトを支援する新しい取り組み”. LINUX FOUNDATION (2014年4月25日). 2014年4月27日閲覧。

外部リンク

• JPCERT「OpenSSL の脆弱性に関する注意喚起」
• 独立行政法人 情報処理推進機構「更新：OpenSSL の脆弱性対策について(CVE-2014-0160)」
• 独立行政法人 情報処理推進機構「OpenSSL の脆弱性に対する、ウェブサイト利用者（一般ユーザ）の対応について」
• 警察庁「OpenSSLの脆弱性を標的としたアクセスの増加について」
• Codenomicon社「Summary and Q&A about the bug」（英語）
• OpenSSL「OpenSSL Security Advisory 07 Apr 2014」（英語）