HeartbleedにStrutsにIE……脆弱性に振り回された1カ月：セキュリティクラスターまとめのまとめ 2014年4月版

2014年4月はびっくりするような大きな事件が立て続けに発生。そしてゼロデイ脆弱性の発表方法にも注目が集まりました。

» 2014年05月12日 18時00分公開

　2014年4月はWindows XPのサポート終了が一番の話題であるはずが、それよりも大きな問題が2つも起こってしまいました。Heartbleedと呼ばれるOpenSSLの脆弱性、そしてApache Strutsの脆弱性です。

　OpenSSLの脆弱性もApache Strutsの脆弱性も多数のWebサイトで発生したため、セキュリティクラスターのほとんどの人が何かしらの影響を受けたようでした。Apache Strutsの脆弱性では「修正が不十分である」との発表を行った会社が方々から叩かれるという、これまでにあまりないことが起こりました。

　そして大型連休を控えた月末には、Windows XPにも影響がある危険な脆弱性が発見され……最後まで脆弱性に振り回された1カ月でした。

【関連リンク】

OpenSSL 1.0.1／1.0.2系に脆弱性、秘密鍵漏えいの恐れも

http://www.atmarkit.co.jp/ait/articles/1404/08/news134.html

さようならXP――最後のパッチリリース後、MSが呼び掛ける「4＋1」の対策

http://www.atmarkit.co.jp/ait/articles/1404/09/news129.html

Apache Struts 2の早急なアップデートを、攻撃コード公開を踏まえIPAが呼び掛け

http://www.atmarkit.co.jp/ait/articles/1404/17/news158.html

Windows XP、ついにサポート終了

　2013年からずっと話題になっていましたが、2014年4月9日にいよいよWindows XPとMicrosoft Office 2003のサポートが終了し、最後のセキュリティアップデートが公開されました。それと前後するように、サポート終了に関するツイートがたくさん行われていました。

　サポートは終了したにもかかわらず、まだ多数の会社でWindows XPが使用され続けているようです。タイムラインでは多数の人が使い続けることの危険性をツイートしているのですが、予算と知識の兼ね合いでなかなか置き換えることができないという現状です。

　マイクロソフトのWebサイトなどでは、Windows XPでサイトにアクセスすると警告が出るようです。セキュリティクラスターではブラウザーのUserAgentを書き換えて、Windows XPに見せる人や、逆にWindows XPを他のOSに偽装する人が出てきていました。サポート終了によりアップデートできなくなるかもしれないということで（検証用の）Windows XPを新規にインストールしている人もいます。

　ATMなど、組み込み機器にもWindows XPが使われているため、見えないところでの影響が大きそうなのですが、組み込み環境で使われていることが多いWindows XP Embeddedはまだサポート終了ではないので、混同しないように諭すツイートも見られました。

　どんな問題が起こるのかとハラハラドキドキしながら待ち構えている人も多かったと思いますが、さらに大きな問題である、Heartbleed脆弱性（後述）が登場します。

　そして4月の終わりには、Windows XPで使われているバージョンを含むInternet Explorer（IE）の脆弱性が公表されます。アメリカ政府がIEの使用を控えるようにと警告したことから、Windows XPとは特に関係なく大騒ぎとなりました。この対応に追われた人も多かったようです。

OpenSSLのHeartbleed脆弱性がやってきた

　2014年4月7日には、通信の暗号化や署名の検証など、インターネット上の多くのサーバーで使われているOpenSSLというライブラリに大きな脆弱性が見つかりました。OpenSSL 1.0.1から新たに追加されたハートビート拡張という機能に問題があったため、この脆弱性はHeartbleedと名付けられました。

　Heartbleedは、ハートビートリクエストのペイロード長フィールドに、実際に送信されるよりも多い値を設定するという単純な手法により、システムのメモリに含まれている情報が悪意を持った第三者に奪われてしまうという脆弱性でした。

　メモリにはSSLの暗号を解くことができるようになる秘密鍵や、他のユーザーのパスワードなど、機密性の高い重要な情報が含まれている危険があります。何度も繰り返し攻撃することでメモリ内の情報を根こそぎ奪えることや、秘密鍵が漏れることで過去の通信内容が解読されること、偽のSSLサーバーを立てられてしまうことが想定できるため、かなり危険度が高い脆弱性だといえます。

　影響範囲がとても大きいだけでなく、公開されてすぐに攻撃コードが公開されたことや、Yahooのパスワードが盗まれたことが判明し、とても大きな話題となりました。日本でもHeartbleed脆弱性を突いた攻撃により、三菱UFJニコスカードの個人情報が流出したなど、実際に被害が発生していました。

　Heartbleed脆弱性が存在するかを検証できるサービスが国内外で多数公開されており、これを紹介したり使用しているツイートも多く見られました。NessusやOpenVAS、nampなどの検査ツールにもすでにチェックするためのプラグインが作成されており、これを紹介している人も多く見られます。

　タイムラインでは、OpenSSLのアップデートや、鍵と証明書の再発行などの対応に追われている人も多かったようです。実際に脆弱性を突いてデータが取れるか検証している人もいました。

Apache Strutsの新たな脆弱性と、ゼロデイ公開の方法と

　2014年3月には、Apache Struts2にコマンド実行などが行われる恐れがある重大な脆弱性が見つかり、4月17日には攻撃コードが出回ってると注意喚起がありました。ところがその脆弱性対応が不十分で、まだ攻撃を受ける恐れがあることが4月22日に発表されました。

　脆弱性自体も大きな問題なのですが、三井物産セキュアディレクションが日本語で公表を行ったためか、これまで脆弱性が公表されたときとは少し違う展開を見せました。特に発表内に攻撃コードなどは含まれていなかったにもかかわらず、この事実を公表したことに対して、タイムラインではかなり強い表現での非難があり、それに同調するユーザーも多く現れたのです。

　これまで海外で多数公表されているゼロデイ脆弱性に関しては、今回のように非難するユーザーはあまり見かけませんでした。国内企業が発表するとなると話が違うということなのでしょうか。後に追記されましたが、当初発表に攻撃への回避策が含まれていなかったことなど表現に問題があったと指摘している人もいました。

　その翌日にはApache Struts2だけではなく、Apache Struts1にも同様の脆弱性が存在すると、これまた日本企業のLACから警告が発表されていました。Apache Struts1に関してはすでにサポートも終了しており、アップデートの公開予定もないことから、より緊急な対応が必要になった企業が多かったようです。

　こちらについては5月の大型連休の目前に公表されたためか、あまり強く非難する人は見かけませんでした。

　この他にも、2014年4月のセキュリティクラスターはこのような話題で盛り上がっていました。5月はどのようなことが起きるのでしょうね。