OpenSSLに高危険度の脆弱性 発見にはClaudeが関与：速やかな修正を

OpenSSLプロジェクトは、PKCS#7署名検証機能に高危険度の解放後使用欠陥があると公表した。細工済みメッセージで異常動作が生じ、クラッシュやメモリ破壊、遠隔コード実行の恐れがあり、修正版公開で更新を呼びかけた。

[＠IT]

　OpenSSLプロジェクトは2026年6月9日（現地時間）、暗号化ライブラリ「OpenSSL」に高危険度の脆弱（ぜいじゃく）性「CVE-2026-45447」が存在すると公表し、修正版を公開した。対象環境ではクラッシュやメモリ破壊が発生する恐れがあり、条件次第では遠隔から任意コードを実行される可能性もある。

OpenSSLに高危険度のメモリ破壊脆弱性　Claude関与事例として注目

　問題はPKCS#7署名検証処理で発生するヒープ領域の解放後使用（UAF）に分類される欠陥で、細工済みのPKCS#7またはS/MIME署名付きメッセージを処理した際に誘発される。SignedData内のdigestAlgorithmsフィールドが空のASN.1 SETとして配置された場合、PKCS7_verifyが呼び出し元管理のBIOを誤って解放し、その後にアプリケーション側が同じBIOにアクセスすると不正なメモリ参照に至る。

　典型例ではアプリケーションが該当BIOにBIO_freeを実施した段階で異常が発生する。影響の内容はメモリ割り当て方式や実装状況によって異なるものの、プロセス停止やヒープ破損につながる可能性がある。利用環境によっては攻撃者によるコード実行に発展する余地もある。

　影響を受けるのはOpenSSLのPKCS#7 APIを使ってPKCS#7またはS/MIME署名メッセージを処理するアプリケーション。CMS APIを利用する実装は対象外とされた。

　OpenSSLによると、4.0系、3.6系、3.5系、3.4系、3.0系、1.1.1系、1.0.2系が影響を受ける。利用者には4.0.1、3.6.3、3.5.7、3.4.6、3.0.21への更新を求めている。1.1.1系と1.0.2系はプレミアムサポート契約者用の修正版が提供される。FIPSモジュールは影響範囲外で、原因となったコードがFIPSモジュール境界の外側に存在するためと説明している。

　今回の欠陥の発見にはセキュリティ研究者だけでなく、Anthropic Researchおよび「Claude」が関与したとされる。また同日公表された18件の脆弱性のうち7件において、Anthropicのセキュリティ研究者が報告者または共同報告者としてクレジットされている。

　近年のOpenSSLでは高危険度評価の脆弱性公表件数は多くなく、今回の事案は2026年に確認された高危険度案件の一つとして注目を集めている。AI技術が脆弱性発見プロセスに活用された事例としても関心を集めそうだ。