2014年5月27日

Codenomicon最高経営責任者(CEO)
David Chartier(写真右)

Trend Micro技術 ソリューション部門副社長
JD Sherry(写真左)

2014年4月、オープンソースの暗号ソフトウエアライブラリOpenSSLにおける脆弱性(通称Heartbleed)が発見されたことで、暗号化により安全だと見られてきた通信の内容や秘密鍵などの重要情報が、一気に漏洩の危機にさらされる事態となった。脆弱性が見つかったOpenSSLの利用者は、業界を問わずバージョンアップ等の対応に追われた。しかし、この事例は氷山の一角で、Heartbleedのような事例は今後も増えるとの見方も多く、第2、第3のHeartbeedを防ぐためのセキュリティ対策に注目が集まっている。

2014年4月、インターネット上で標準的に利用される暗号通信プロトコルSSL(Secure Sockets Layer)機能等を提供する、オープンソースソフトウエアのOpenSSLで脆弱性が報告された。Google Securityの研究者と、フィンランドに拠点を置くセキュリティベンダーCodenomiconの3人のリサーチャーが同時期に事例を発見/報告したが、この脆弱性は2年間もの間、放置されていたこともわかった。OpenSSLはウェブや電子メール、組織内部の仮想プライベートネットワーク(Virtual Private Network:VPN)上等での通信について、公開鍵の証明書によるサーバ認証に加え、共通鍵暗号を用いた通信の暗号化の機能等を提供している。全世界の3分の2のウェブサーバで利用されているといわれ、ネットでの認証情報、パスワードやユーザネームを含む個人情報、決済情報等のやり取りを安全に行う手段として普及していたことから、脆弱性の発見は市場に大きな動揺を持って受け止められた。OpenSSLを利用していた企業は、脆弱性のあるバージョンの利用の有無を確認し、修正パッチやバージョンのアップデートを行うほか、企業サービス等の一般利用者にはパスワード変更等を呼びかける対策を行った。これまでのところ、Heartbleedの主要な被害事例としては、カナダ歳入庁で900人の納税者の社会保障番号などが不正に閲覧されたこと等が報告されているが、ソフトウエアのアップデートの遅れなどにより、被害が拡大、長期化すること等も懸念されている。また、これまで評価されてきたオープンソースコミュニティへの信頼性に疑問を投げかける声も出ており、これを機会に業界を超えてセキュリティ対策を大幅に見直す時期に来ているとの認識も高まってきている。Heartbleedの事例からどんな教訓が得られ、今後のセキュリティ対策のベストプラクティスにどう反映されていくのか、オープンソースコミュニティにどういった影響が出てくるのか等について、Heartbleedの発見者Codenomiconの最高経営責任者(CEO)を勤めるDavid Chartier氏と、米主要セキュリティソフトベンダーTrend Microの技術/ソリューション部門の副社長JD Sherry氏に意見を聞く。

David Chartier氏とJD Sherry氏へのインタビュー

Q.Heartbleedの特異性は。

Chartier:一番の特徴は、今回指摘された脆弱性により危機にさらされたデータ量、データの種類が、これまでのソフトウエアバグの事例とは比べものにならないほど膨大で多様だという点があります。Heartbleedを利用した攻撃者が一度の攻撃で入手できるメモリは64Kメモリですが、これを高速で連続して行えば、個人に成り済ますに十分な情報が入手できます。また、Heartbleedが発見まで2年間を要したという点も勘案すれば、その間の通信も危機にさらされたと考えてもいいでしょう。また、この脆弱性を利用すると、通信を行う2者の間で暗号通信を盗聴する中間者攻撃(Man in the Middle)の手段をとらずに、直接、脆弱性のあるサービスやこれに接続している利用者に攻撃を仕掛けられる点も、これまでのソフトウエアのバグ等とは異なる特徴だといえます。そして何よりも厄介なのは、攻撃者が不正アクセスに関するログを一切残さずに攻撃を実現できるという点があります。

Q.Heartbleedはどのようにして発見されたのか。

Chartier:Heartbleedは4月のほぼ同時期に、Google Securityの研究者が発見しOpenSSLのチームに報告しており、Codenomiconでも同社のセキュリティエンジニア3人が、暗号化や認証プロセスのテストツールの改良/検証を行っている際にHeartbleedの脆弱性を見つけ、フィンランドの国家サイバーセキュリティセンター(NCSC-FI)とOpenSSLに報告しています。今回の脆弱性は、ソフトウエアのデザインに起因するものではなく、各種アプリケーションにTSL(Transportation layer security)等の暗号化サービスを提供するOpenSSLライブラリでのプログラミングのミスでした。2012年3月に公開されたバージョン1.0.1で発見されたので、公開から2年ほど放置されていたことになります。ソフトウエアに脆弱性があっても、その脆弱性に直接影響を受ける機能を利用しなければ、それに気づかないでいるということも多いという現実が浮き彫りになった事例でもあり、ソフトウエアのセキュリティの脆弱性を入念にテストする重要性が今後さらに強く認識されると見ています。

Q.Heaertbleedで危機にさらされるデータの種類とその防止対策は。

Chartier:脆弱性が指摘されたOpenSSLを利用して暗号化されたデータ全てが危機にさらされているといっても過言ではありませんが、そのデータは大きく4つに分類できます。最も重要なのは暗号鍵です。これが漏洩すれば攻撃者は本来セキュリティ対策が施されているべきサービスのトラフィックに関する暗号を解読し、「成りすまし」に発展する危険があります。これを防ぐためには、既存の証明書を失効させ、新しい証明書を発行する対策をとります。2つ目はユーザネームやパスワードといった個人情報で、利用者がそれぞれ変更することが必要になります。3つ目は暗号化されたコンテンツで、電子メールや金融取引の記録、インスタントメッセンジャーでのやりとりと等を含みます。サービスの運営者(金融機関等のOpenSSLの利用者)は、漏洩の危険性のあるコンテンツを見積り、この影響を受ける顧客にその事実を通知することが求められ、顧客にも注意を喚起することになります。そして4つ目はサーバのメモリが漏洩した際に、上記の3種類の情報に付随したメモリアドレス等の情報です。しかし、これはOpenSSLのバージョンが変われば、攻撃者にとっては全く意味の無い情報ですので、バージョン更新で解決されます。

Q.Heartbleedの発見後の金融機関等の対策をどう評価するか。

Sherry:多くの金融機関はHeartbleedが発見されてからすぐに、運営するウェブサイトがOpenSSLを利用しているかどうかを確認し、その結果/進捗を一般に公開していました。オンラインバンキング等の利用が多いウェブサイトにおいて、脆弱性の発見されたOpenSSLが利用されていないという事実は、顧客の混乱を防ぐのに大きな効果があったと見ています。しかし、ウェブサイト以外でもモバイルアプリ、ファイヤーウォール、ルーターやスイッチ、VPNなどでOpenSSLを利用しているかどうかについての公表は十分ではなかったと感じます。例えば自動送金や振込等の大規模バッチ処理に使われるFTPサーバ(File Transfer Protocol:ファイルの送受信を行うサーバ)などはOpenSSLを利用するケースも多いのですが、こうしたバックオフィスのインフラについても、実際にどの程度の金融機関が利用していたのか、また利用者の注意を喚起する意味も含め、公開があれば良かったと感じます。

Q.Heartbleedの影響を「間接的」に受ける可能性は。

Sherry:例えば、金融機関のウェブサイトやバックオフィスのインフラにおいて脆弱性の発見されたOpenSSLを利用していなかったとしても、金融機関の顧客が、脆弱性のあるOpenSSLを利用したソーシャルメディアやオンラインショッピングサイト、あるいは政府のウェブサイト等を利用し、間接的にHeartbleedの影響を受けるというケースも考えられます。あるいは、脆弱性のあるOpenSSLを利用したソフトウエアを個人のコンピューターで利用し、サービスに接続した際に、コンピューター内にあるデータが漏洩するというケース等も考えられます。しかし、現時点ではこうした間接的に脆弱性の被害を受けるケースがどの程度なのか、あるいはどの程度広がっていくのかは把握できていません。そして、特に中小企業や個人のレベルで、OpenSSLのアップデートや適切なパッチを行わずに放置するケースが増えるほど、Heartbleedの被害を受けるケースが拡大し、被害も長期化する可能性は高いと言えます。

Q.オープンソースコミュニティへの影響をどうみるか。

Chartier:今回のHeartbleedの一件で、オープンソースコミュニティへの信頼性に疑問を呈する声が出ているのも確かです。しかしOpenSSLに脆弱性が発見された際に、オープンソースコミュニティがその事実確認に加え、脆弱性に関する情報を迅速かつ詳しく周知する行動に出たこと、そしてその脆弱性を修正する作業スピードが予想以上に早かったことが高く評価されたというのもまた事実です。Heartbleedにより、イノベーションを推し進めるのも、脆弱性のような試練に対応するのも、やはりコミュニティ全体での働きかけが重要だということが明らかになったと思います。

Q.Heartbleedから得た教訓とセキュリティ対策のベストプラクティスは。

Chartier:セキュリティ業界ではトレンドになりつつありますが、ソフトウエアについては、積極的にセキュリティの脆弱性に関するテストを徹底させる必要があると思います。サイバー攻撃の方法が多様化、高度化することを勘案すると、特に暗号化や認証に関する脆弱性のテストは常にクリエイティブで、多角的かつリアルタイムでテストする流れが加速すると見ています。

Sherry:ソフトウエアの脆弱性には最終的に修正パッチを適用しますが、多くはシステムの一時停止や再起動等により、パッチ作業のタイミング等が限られ、円滑に進まない場合もあります。そのため、修正パッチを適用するまでの暫定的な手段として「バーチャルパッチ」と呼ばれる技術の普及が進むと見ています。一定のルールに基づき、脆弱性を突いた攻撃パケットを検出してブロックする技術で、メーカーが修正パッチを提供する前の時間差攻撃にも対応できるメリットがあります。また、Heartbleedを機に2要素認証(Two Factor Authentication:利用者の知識、持ち物、身体的特徴のうち2つの要素を組み合わせて認証を完了させる、精度を高めた認証方式)を徹底させる対策も本格化するでしょうし、利用者の危機意識を高める必要性もあると思います。

インタビューを終えて

Chartier氏は脆弱性を突いた攻撃等において、被害を食い止めるのに重要な役割を果たすのは、企業のセキュリティ対策やセキュリティ技術はもちろんですが、やはり利用者のセキュリティへの認識が大きいと話していました。同氏はセキュリティへの注意を喚起する目的で、心臓からの出血をイメージしたHeartbleedのロゴを作成したと話していましたが、その成果があってか、Heartbleedは発見から数週間ほど、1時間あたり数千件という異例のツイート数を記録したようです。今後、第2、第3のHeaertbleedに備え、ソフトウエアのテスト普及、脆弱性の検出/ブロック技術に加え、利用者の危機意識に訴える手段にも工夫が必要になっているのかもしれません。

注釈

  • 本文中に記載されている会社名、製品名は各社の登録商標または商標であり、敬称名は略させていただきました。