2015年10月08日 08時00分 UPDATE
特集/連載

これからも派手なバグが登場するだろうHeartbleedバグはOpenSSLに極めてポジティブな影響をもたらした

IT業界に大きな影響を及ぼしたOpenSSLのHeartbleedバグ。セキュリティ企業Rapid7のビアズリー氏は、これを「ポジティブな影響」と評価する。Heartbleedバグはどのような影響をもたらしたのだろうか?

[Warwick Ashford,Computer Weekly]
Computer Weekly

 2014年4月、「OpenSSL」の幾つかのバージョンの暗号化ライブラリに「Heartbleed」の脆弱(ぜいじゃく)性が見つかった。だが、セキュリティ企業の米Rapid7は、この発見の影響を肯定的に捉えている。

Computer Weekly日本語版 10月7日号無料ダウンロード

17788.gif

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 10月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 同社でセキュリティエンジニアリングマネジャーを務めるトッド・ビアズリー氏は「一流ブランドに大きなバグがあったということでOpenSSLに注目が集まるのなら、もっと早く発覚していればと思わずにはいられない」と話す。

 同氏は、米ラスベガスで開催されたハッキングカンファレンス「DEF CON 23」でComputer Weeklyのインタビューに答えて、Heartbleedの影響を「極めてポジティブ」に捉えていると語った。

 Rapid7でオープンソースソフトウェア(OSS)フレームワークの「Metasploit」に携わっているビアズリー氏によると、Heartbleedの発見以降、OpenSSLに少なくとも2つのフォークが誕生したという。1つは、米Googleが独自にリリースした「BoringSSL」。もう1つは、OpenBSDのプロジェクトメンバーが立ち上げた「LibreSSL」だ。

 「個人的には、フォークの誕生を歓迎する。『真のバージョン』が分からなくなるという理由でソフトウェアのフォークには批判的な意見が多いが、ユーザーが使用しているもの全てが『真のバージョン』ではないだろうか」と同氏は話す。

 Heartbleedの欠陥が発見されたことによってOSSのセキュリティが注目を集めるようになった。そのポジティブな影響の1つが、OpenSSLフォークの誕生だと同氏は考える。

 「OpenSSLの標準ライブラリが商用製品で、実際には1人の開発者または単独のソフトウェア開発チームだけが管理していたとしたら、事態はもっと深刻だったはずだ」とビアズリー氏は言う。

 「ある銀行はOpenSSLを使用していなかったのでHeartbleedの影響を受けなかったが、独自の暗号化システムを使用しているため、どのようなバグを誰が把握しているのか分からない」

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news019.jpg

「女の一生」リサーチまとめ
女性の思い描く「なりたい自分」、結婚の新常識、子育てに関して妻と夫の思惑は同じなの...

news109.jpg

970x250のサイズで常にメディアのトップに広告を表示、ヒトクセが「Smart Canvas Billboard」を提供開始
ヒトクセは、同社のリッチメディア広告配信プラットフォーム「Smart Canvas」において、D...

news115.jpg

「GenieeSSP」がネイティブ広告向け配信APIの提供を開始
ジーニーは、同社のインターネットメディアの広告収益最大化プラットフォーム「GenieeSSP...