2016年3月のセキュリティクラスタは、またしても公開されたOpenSSLの脆弱性に恐々とする一方、「eLTAX」や「ホワイトリスト」に関して激しい議論を交わしていました。
3月のセキュリティクラスタは、月初めから名前の付いたOpenSSLの脆弱(ぜいじゃく)性が2つ同時に公開されたことで身構えた人も多かったようですが、最終的にそれほどの影響はなかったようで、大騒ぎにはなるまでには至りませんでした。
3月14日には地方税納付のためのオンラインシステム「eLTAX」の仕様変更が発表されましたが、2016年の今ActiveXを採用したことが明らかになり、批判の的になりました。また、Webの世界でよく使われている「ホワイトリスト」の定義をめぐって、再び議論が巻き起こりました。
3月1日にOpenSSLに関する2つの大きな脆弱性、「CacheBleed脆弱性」と「DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)脆弱性」が公表されました。2月末に“重大な脆弱性を含む更新”が予告されていたこともあり、警戒していた人も多くいたようですが、ふたを開けてみればそれほど実務に影響はなかったようです。
ただ、CacheBleed脆弱性はOpenSSLやLibreSSL、NSS(Network Security Services)などに存在した問題で、「CPUを共有しているマシンにおいて、悪意を持ったユーザーが他のユーザーのRSA秘密鍵を盗み出せる可能性がある」というものでした。とても危険な脆弱性ではあるのですが、攻撃を行えるCPUが限定されていることや、攻撃者がCPUを共有している必要があるということから、直接影響がある人は少なかったようです。
また、DROWN脆弱性はSSLv2プロトコルの問題で、「ハンドシェイク時のデータを解析することで、暗号化されたはずのデータが復元されて読まれてしまう」というこちらも非常に危険度の高い脆弱性でした。SSLv2だけでなくGoogleの開発した「QUIC(Quick UDP Internet Connections)」というプロトコルにも同様の問題があるそうです。
DROWN脆弱性もCacheBleed同様に非常に大きな脆弱性ではあるのですが、2014年の「Heartbleed」や「POODLE」、そしてちょうど1年前の2015年3月に話題となった「FREAK」など、OpenSSLやSSL/TLSプロトコルについては、脆弱性が近年複数報告されていたこともあって、セキュリティクラスタでは既に組織内などでSSLv2を無効化している人も多かったようです。そんなわけで当初警戒された程には、急な対応に追われているようなツイートは見られませんでした。
Copyright © ITmedia, Inc. All Rights Reserved.