ハートブリード(英語: Heartbleed)とは、2014年4月に発覚したオープンソース暗号ライブラリ「OpenSSL」のソフトウェア・バグのことである。当時、信頼された認証局から証明書が発行されているインターネット上のWebサーバの約17%(約50万台)で、この脆弱性が存在するHeartbeat拡張が有効になっており、サーバーの秘密鍵や利用者のセッション・クッキーやパスワードを盗み出すことが出来る可能性があった[3][4][5][6][7]。 OpenSSLの脆弱性がCVSレポジトリに混入したのは2011年12月31日であり、原因はロビン・セゲルマンが提出し[8][9]、OpenSSLの開発チームがレビュー(審査)[10] した善意のパッチ(改善コード)である。脆弱性が混入したコードはOpenSSL バージョン1.0.1に幅広く採用され、2012年3月14日に公開された[11][12]。 2014年4月、Googleのセキュリティーチームのニール・メータが2012年3月14日以降のOpenSSL 1.0.1シリーズの全ての版にバグ(不具合)があると発表した。このバグはTransport Layer Security(TLS)のハートビート拡張プログラムのサーバーメモリ操作のエラー処理にあった[13][14] 。このバグは生存確認信号(Heartbeat)の発信
目次
1 経緯
2 沿革
3 脚注
4 外部リンク
経緯
このバグをHeartbleed(心臓出血)と命名し、ロゴを作り、Heartbleed.comドメインを立ち上げてバグの説明を公開したのは、フィンランドのサイバーセキュリティ会社コデノミコンの3人の技術者である[17]。コデノミコン社によると、最初にOpenSSLのバグを公表したのはGoogleのセキュリティーチームのニール・メータだが、コデノミコン社も独自に新しく開発中だった、暗号化、認証プロセスのテストツール検証の過程で発見していた[11]。メータは詳細は語らずに、コデノミコン社を賞賛した[18]。
監査ログの調査によると、数人の攻撃者は問題発覚の少なくとも5ヶ月前に欠陥を発見していた[19][20][21]。ブルームバーグに対し2人の内部情報源は、アメリカ国家安全保障局は欠陥が混入してから短期間の内に欠陥に気づいたが、公表する代わりに秘密にして、欠陥を自分達の任務のために使うことにしたと証言した[22][23][24]。しかしNSAはこの訴えを否定している[25]。
基本的な対策はハートビートを使用しない(-DOPENSSL_NO_HEARTBEATS オプションを付けて再コンパイルする)か、脆弱性を修正したバージョン(1.0.1g以降)への更新となる[14]。 日付は各地の現地時間。
沿革
2011年
12月31日 - OpenSSLのソースコードにハートブリード・バグが混入。
2012年
3月14日 - OpenSSLがバグに気づかないまま、OpenSSL 1.0.1を公開[26]。
2014年
3月31日 - CloudFlare社が自社製品を修正[27]。
4月1日 - Googleのセキュリティーチームのニール・メータが、OpenSSLにハートブリード・バグを報告[28]。