メインメニューをとばして、このページの本文エリアへ

OpenSSL

事前調整間に合わず 欠陥公表の舞台裏

警察庁が確認したOpenSSLの欠陥を標的とするアクセスの推移。最大時では1秒間に2回程度のアクセスが行われている(警察庁提供)
OpenSSLの脆弱性を発見したフィンランドのセキュリティー企業「コードノミコン」が開設したサイト「ハートブリード・コム」

 暗号化ソフト「OpenSSL」で見付かった深刻な欠陥「Heartbleed(心臓内出血)」。開発者が欠陥を公表する前の4月6日夜、日本の情報セキュリティー組織に海外から“第一報”が入り、攻撃者に知られる前に修正対応を行う「事前調整」に向けた準備が秘密裏に進められていたことがわかった。だが、この試みは、結局間に合わず、攻撃側と防御側の競争は、欠陥の公表を“合図”に始まった。【尾村洋介/デジタル報道センター】

フィンランドからのメール

 日本時間4月6日午後8時。不正アクセスなどセキュリティーへの脅威に対応する非営利組織「JPCERT/CC」(ジャパン・コンピューター・エマージェンシー・レスポンス・チーム/コーディネーション・センター)にOpenSSLの欠陥を知らせるメールが届いた。送り主はフィンランドの「NCSC−FI」(ナショナル・サイバー・セキュリティー・センター・フィンランド)。4月3日に欠陥を発見したセキュリティー会社「コードノミコン」から報告を受け、協定を結んでいるJPCERTと米カーネギーメロン大のCERT/CCに伝えたのだ。

 ソフトウエアなどの欠陥が発見された時、その情報をどう流通させるべきか。独立行政法人の情報処理推進機構(IPA)の永安佑希允・脆弱(ぜいじゃく)性分析エンジニアによると、かつては発見者がすぐに公表していた。ただ、これでは製品の開発者や使用者と同時に、悪意のある攻撃者にも情報を知らせてしまう。このため、セキュリティー業界では、重大な欠陥は公表前に開発者などに事前通告し、関係者で対応を準備したうえで一般に公開する「責任ある開示」の考えが有力になっている。

 国内では、IPA、JPCERT、民間企業が連携し事前調整を行う仕組み(情報セキュリティー早期警戒パートナーシップ)が2005年7月から稼働している。

 今回、NCSC−FIからOpenSSLの欠陥の報告を受けたJPCERTは6日夜以降、この枠組みに基づき、欠陥のあるシステムを利用している企業など50社をリストアップするなどし、事前調整する準備を進めていた。ところが、OpenSSLの開発者は日本時間8日未明以降、公式サイトなどで欠陥の情報を公開。JPCERTの想定より少し早まったため、JPCERTやIPAがサイトや登録メールサービスで欠陥を知らせたのは、約半日遅れた8日午後となった。

 「事前調整する前に、情報が公開されてしまった」。JPCERTの久保正樹・情報流通対策グループ脆弱性解析チームリーダーは悔やむ。

公表前に知っていたのは?

 実は、コードノミコンより先にOpenSSLの欠陥を把握していた企業がある。米グーグルだ。同社によると、同社のセキュリティー部門の技術者、ニール・メータ氏が3月中に欠陥を発見。グーグルは3月末までにOpenSSL開発者にこの欠陥を知らせ、コードを修正するパッチも提供した。更に自社の検索サービスやユーチューブなどのサイトの修正も段階的に進めた。

 欠陥に誰がいつごろ気付き、公表前にどこまで伝わっていたかについては、欧米メディアによる詳細な検証がある(シドニー・モーニング・ヘラルド)。

 それによると、グーグルやコードノミコン以外に、米コンテンツ配信網(CDN)サービスのクラウドフレアやアカマイ、SNSのフェイスブックも、公開前に欠陥を知っていた。また、オープンソースOS「リナックス」の企業向けパッケージを開発している米レッドハットの技術者は、同社とOpenSSL開発者で情報開示を調整しようと試みたとメーリングリストで発言。ただ、グーグルだけでなく、コードノミコンも欠陥を発見するなど、情報が広がり、攻撃者に知られる可能性が高まったため、開発者は予定より早く情報を開示した、という。

 一方、これらの情報開示前の動きに、CERT/CCや米政府系のUS−CERT(ユー・エス・コンピューター・エマージェンシー・レディネス・チーム)が積極的に関与した様子は見られない。アマゾン、ツイッター、ヤフーやネットワーク機器のシスコとジュニパーは情報公開前に欠陥を知らなかったとされる。情報は、OpenSSL開発者と近い技術者間のネットワークを通じて水面下で流通していた可能性が高く、全体には行き渡らなかった。

 グーグルは、CERT/CCやUS−CERTに欠陥の情報を伝えたか否かについては明らかにしていない。同社の過去のセキュリティーブログでは、欠陥の開示に関して、一般論として、製品開発者に事前に知らせるやり方が常にユーザーを防御する最善の方法となるとは限らないと指摘している。事前に情報を伝えても製品開発者が迅速に対応をしない場合、利用者が悪意のある者による攻撃の危険に長くさらされることなどが理由だ。

 JPCERTの久保氏は「グーグルは今回、我々のような組織より、直接に開発者に連絡する方が適切と考えたのかもしれない」と推測する。今回の欠陥が非常に深刻だっただけに、高い技術力を持つグーグルが問題を発見し、開発者に修正パッチも提供したことで修正対応が早く進んだことを「不幸中の幸い」と評価した。

ハートブリードの教訓

 コードノミコンはOpenSSL開発者が欠陥の情報を公開した後すぐ、詳しい解説サイト「ハートブリード・コム」を開設した。同社はその数日前にドメインを取得している。欠陥の公表直後に、このような充実した情報が提供されるのは異例。公的機関であるCERT/CCやUS−CERTのページにも同サイトへのリンクが貼られた。このサイトを通し、OpenSSLの欠陥に対する認識と理解が急速に広がった。

 今回の欠陥は、サーバーのメモリーに一時的に保存されている個人情報などが盗み見られてしまうもの。暗号の大本で、各サーバーに一つだけ設定されている「秘密鍵」まで入手されれば、サーバー内の全情報を知られたり、サーバーそのものに成りすまされたりする可能性もある。しかも原理が分かれば、攻撃プログラムを作るのは難しくないという。IPAの永安氏は数十種類の「攻撃コード」を確認している。

 国内の不正アクセスを探知する定点観測システムを運用している警察庁情報技術解析課がOpenSSLの欠陥を把握したのは開発者が公表した後の4月8日。この欠陥を標的としたアクセスは4月9日午前6時から探知され、16日までに5万4090件のアクセスを確認した。これは定点観測システムのセンサーが置かれている国内59拠点で観測されたもので「多くの中の一部」(宮西健至・警察庁情報技術解析課理事官)に過ぎない。アクセスの中には、攻撃の意図はなく、サイトに欠陥があるかどうかを確認するための「探索用」も含まれるとみられるが、企業が修正パッチを当てるなど対応策を完了するまでは、攻撃者が狙おうと思えば狙える状態にあった。

 欠陥に対応するための「事前調整」は国内では定着し、手法の有効性も認知されてきている。ただ、OpenSSLはソースコードが公開され、さまざまな製品に組み込まれ、幅広く使われている。関係製品の開発者や利用者は全世界におり、その数は極めて多い。事前調整が簡単ではないケースだった。

 だが、OpenSSLと同じような海外のオープンソフトの欠陥の場合でも、国際的な事前調整が行われたケースはある。JPCERTの久保氏は「やはり事前通告は必要。関係者に対応する時間を与えてから開発者は公表すべきだ」と話す。

 攻撃者への情報漏えいを防ぎつつ、多国間にわたる広範囲の関係者に、早く欠陥の情報を伝えるには、どのようにすればいいか。JPCERTで事前調整などを担当する満永拓邦・早期警戒グループ情報分析ラインリーダーは「今回の問題は今後の教訓になる」と話している。

毎日新聞のアカウント

話題の記事

アクセスランキング

毎時01分更新

  1. 社説 「イッテQ」にやらせ疑惑 うやむやでは済まされぬ
  2. 戦争の愚 風船爆弾に悔い 製造の経験を小説に
  3. 街頭演説 麻生氏「人の税金で大学に」 東大卒市長批判
  4. 騒動 出川哲朗 イッテQ騒動に男気初対応、信頼貫く「頑張ってる」(スポニチ)
  5. 社説 桜田五輪担当相の迷走 滞貨一掃人事の重いツケ

編集部のオススメ記事

のマークについて

毎日新聞社は、東京2020大会のオフィシャルパートナーです