HeartbleedバグはOpenSSLに極めてポジティブな影響をもたらしたこれからも派手なバグが登場するだろう

IT業界に大きな影響を及ぼしたOpenSSLのHeartbleedバグ。セキュリティ企業Rapid7のビアズリー氏は、これを「ポジティブな影響」と評価する。Heartbleedバグはどのような影響をもたらしたのだろうか?

2015年10月08日 08時00分 公開
[Warwick AshfordComputer Weekly]
Computer Weekly

 2014年4月、「OpenSSL」の幾つかのバージョンの暗号化ライブラリに「Heartbleed」の脆弱(ぜいじゃく)性が見つかった。だが、セキュリティ企業の米Rapid7は、この発見の影響を肯定的に捉えている。

Computer Weekly日本語版 10月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 10月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 同社でセキュリティエンジニアリングマネジャーを務めるトッド・ビアズリー氏は「一流ブランドに大きなバグがあったということでOpenSSLに注目が集まるのなら、もっと早く発覚していればと思わずにはいられない」と話す。

 同氏は、米ラスベガスで開催されたハッキングカンファレンス「DEF CON 23」でComputer Weeklyのインタビューに答えて、Heartbleedの影響を「極めてポジティブ」に捉えていると語った。

 Rapid7でオープンソースソフトウェア(OSS)フレームワークの「Metasploit」に携わっているビアズリー氏によると、Heartbleedの発見以降、OpenSSLに少なくとも2つのフォークが誕生したという。1つは、米Googleが独自にリリースした「BoringSSL」。もう1つは、OpenBSDのプロジェクトメンバーが立ち上げた「LibreSSL」だ。

 「個人的には、フォークの誕生を歓迎する。『真のバージョン』が分からなくなるという理由でソフトウェアのフォークには批判的な意見が多いが、ユーザーが使用しているもの全てが『真のバージョン』ではないだろうか」と同氏は話す。

 Heartbleedの欠陥が発見されたことによってOSSのセキュリティが注目を集めるようになった。そのポジティブな影響の1つが、OpenSSLフォークの誕生だと同氏は考える。

 「OpenSSLの標準ライブラリが商用製品で、実際には1人の開発者または単独のソフトウェア開発チームだけが管理していたとしたら、事態はもっと深刻だったはずだ」とビアズリー氏は言う。

 「ある銀行はOpenSSLを使用していなかったのでHeartbleedの影響を受けなかったが、独自の暗号化システムを使用しているため、どのようなバグを誰が把握しているのか分からない」

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

市場調査・トレンド NTTドコモビジネス株式会社

厳格化する個人情報管理、企業が守るべき4つのルールとセキュリティ強化策

サイバー攻撃の高度化などを背景に、これまで以上に個人情報の厳格な管理が求められている。事業者が守るべきルールや事故発生時のリスクを確認しながら、社用スマートフォンのセキュリティ対策を強化する製品を紹介する。

事例 株式会社エーアイセキュリティラボ

19社の事例に学ぶ、人材不足でも“脆弱性診断の内製化”を実現できる方法

脆弱性診断の重要性が高まる中、コストの削減などを目的に内製化の機運が高まっている。本資料では、脆弱性診断の内製化を簡単に実現できる方法を解説するとともに、19社の事例をもとに、それによりもたらされるメリットを紹介する。

製品資料 株式会社エーアイセキュリティラボ

サプライチェーンのリスクが拡大、それでも脆弱性診断が進まない理由と解決策

DXの進展に伴いサプライチェーンリスクが高まる中、脆弱性診断の重要性も増している。一方で、脆弱性診断の実施が進まない企業も少なくない。本資料では、脆弱性対策が進まない理由と、具体的な解決策を解説する。

製品資料 株式会社エーアイセキュリティラボ

なぜ定期的な脆弱性診断が必要なのか? 押さえておくべきセキュリティの基礎

サイバー攻撃が高度化・常態化する中、Webサービスの提供企業にとって、セキュリティ対策の強化が急務となっている。本資料では、人材不足や開発現場の変化を踏まえ、脆弱性診断の役割と運用の実践ポイントを体系的に解説する。

市場調査・トレンド パーソルクロステクノロジー株式会社

ゼロトラスト実現の第一歩、適切なID管理とアクセス管理を実践する方法

クラウドの普及などにより、社内外のネットワークが曖昧になる中、ID管理やアクセス管理の重要性が増している。本資料では、近年の脅威の動向を解説するとともに、認証とアクセス管理の強化を実現するアプローチを紹介する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

アクセスランキング

2025/08/01 UPDATE

  1. なぜ「コード生成AI」を信じてはいけない? 便利さに潜む“5つのリスク”
  2. 従業員の無断利用が招く「シャドーAI」で発生し得る“とんでもない”4つのリスクとは
  3. Google Cloudの大規模障害で浮き彫りになった「隠れた単一障害点」とは?
  4. 「Microsoft SharePoint Server」の脆弱性はパッチだけでは不十分 注意点は?
  5. 人工知能で賢くなった「SIEM」で実現する“5つの次世代セキュリティ運用”とは
  6. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  7. “どれが危険か”ではなく「SaaSそのものが致命的」 金融CISOが衝撃の一声
  8. パスワードと似ているけど安全性が大違い? 「パスキー」「パスフレーズ」とは
  9. 自社に合う「VPN」はどれ? Androidスマホユーザーを抱える法人向け製品4選
  10. 「Microsoft SharePoint Server」の“素通り”される脆弱性が危険な理由と対策

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方