クラウド型 ワークフロー

OpenSSL? 心臓出血!? ナニソレ??

インターネットの 『深刻な不具合』 とは何か? OpenSSL と言うソフトが 『余計なお返事』 をしている問題。 なんで、ハートブリードって言うのか?

◆◆0. はじめに

4月の第2週、「インターネット セキュリティの不具合」がニュースサイトを賑わせた。専門家コメントの中に

≪10段階評価で言えば、11だ!≫

と言う名言があった様に「かなり深刻な問題」が明らかになったのだ。

 

しかし専門用語が多くて、「どのくらい深刻なのか?」が、一般の人には伝わらない。そしてネット上では、「誤解」や「ウソ」も生じている。まぁワタクシ今村、セキュリティの資格を持っている訳だし、、、実際、色々な問い合わせも受けている訳だし、、、。ここは折角の機会なので、(個人的な感想を織り交ぜながら)、「何があったのか?」をまとめておこうと思った。

 

◆0-1. プロの専門家ぢゃないよー

最初に「イイワケ」しておく。

たしかに『修士(情報学)』(学位)や『情報セキュリティスペシャリスト』(資格)を持っている。(ふんわりと自慢?)。 しかし、、、(適切な表現が見当たらないが)、、、かなり「ペーパードライバー」な訳だ。 つまり、日頃から専門的にその業務に従事している「筋金入りのプロ」ではナイ。

 

だから、以下に書かれている事を100%信頼してはならない!(?!!)

#そもそも昔は「<br>タグが何か?」程度の知識があれば、学位が取れた。(←あ!、ウソ!、言い過ぎた!)

 

◆0-2. カンタンな表現に主眼!

しかし!
しかし「ペーパードライバー」とは言え、「マッタクの素人」と言う訳でもない。

その玄人度や素人度は説明が難しいが、、、、喩えるならば、、、ナンダ?、、、草野球チームの「監督」くらいなら出来る!(?)。 一般のヒトに基礎的な事を教えたり、ちょっとした作戦を考えたり、くらいの知識ならある。(は?) 一般のヒトと違って専門的な用語も理解できる。(お!) 〔プロのピッチャーの球は、、、打てないケド、見える!〕

 

だから!、、、
だからこそ!!、、、
(なればこそ??)
一般の方に分かるように、まとめておく立場にあるのではないか、と思った。

#ふつう、この手の解説記事は誰も書きたがらない。どんだけ頑張ったトテ、プロには「厳密にはチャウなー」と言われ、一般には「ワカランわー(ははは)」と言われる。(ふふふ…それでもイイさ…)

 

◆0-3. ニュースって?

infrastructure-maintenance

 

◆◆1. 不具合のあった暗号化ソフト

今やインターネットは『インフラ』である。

トラック会社や道路網が「物流インフラ」で、上下水や電気が「生活インフラ」なら、インターネットは「情報インフラ」だ。世界中のコンピュータがケーブルで繋がり、相互にデータを交換している。

【のろし】なんかより、はるかに沢山の情報を送れる
【ハガキ】よりも、ずいぶん沢山の情報を送れる
【電話】と比べても、色んな情報を送れる

今となっては無くてはならない社会基盤だ。

 

そして今回、その「基盤」の基盤をなす『暗号化通信』の仕組みに「重大な欠陥」があることが判明した。

#ちなみに「暗号化」と言うコトバで、どうしても連想してしまうのは『保存ファイルの暗号化』だ。しかし、それは今回のニュースとは一切関係ない。(対象:通信情報を暗号化するソフト)

 

◆1-1. いつ?

公開されたのは、米国時間の4月7日月曜日だ。

この手の情報は「盗聴」や「乗っ取り」に直結する。不具合が判明したら、その解決策(対応策)とセットで情報公開されるのが常だ。そして今回、その「セット」が月曜日に発表された。米国時間の7日午後(日本時間8日の朝9時)には TechCrunch などのブログメディアにも大々的に紹介され、IT関係者たちに一気に広まった。(日本語訳も午前中に発表されている=スバラシイ)

『OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性』 (2014-04-08)

インターネットは1社や2社で管理しているものではない。(他のインフラと違って、そこが話をヤヤコシくしている)。サーバ管理者まで含めると何万人が関与しているのだろう? 警察庁(←サイバー攻撃を監視)からの発表もあって、12日の朝には一般各紙でも報道された。

#ちなみに、今回の不具合番号は「CVE-2014-0160」だが、これは世界的に統一された ID と言っても良い。米国政府が支援するCVEと言う仕組みが識別番号を管理している。今では日本(の『IPA』と『JPCERT/CC』)も参画している。2014年が始まって160番目の不具合だ。
#さらにどうでもイイが、世のITオタク達は不具合のコトを『脆弱性』(ぜいじゃくせい)と呼ぶ。「脆(モロ)くて弱い」と言う事だ。 もっと濃いオタクは「バルネラビリティ」(Vulnerability)と呼ぶ。 (あっ、、、寝るなーーー)

 

◆1-2. どんな不具合?

『サーバ』とは、「サービス」をするコンピュータだ。(Server)
「サービス」とは、「聞かれた事に答えるコト」だ。

つまり『サーバ』は、その存在理由からして、聞かれた事に応える宿命にある。今回の暗号化ソフト『OpenSSL』にもサーバ機能がある。

 

外部者とカレの会話(コンピュータ同士の会話)を擬人化すれば、こんな感じ。

オカン:「起きてるかー?」
カレ:「うん、起きてるぅ!」

そして今回の不具合は、聞かれ方によって『余計な返事』をしてしまっていたのだ。(バクっ)

オカン:「起きてるかー? コラーー!!!」
カレ:「うん、起きてるぅ! (あわわわ、あ、オレのパスワードは0000やったっけかなぁ…むにゃむにゃ)」

 

ちなみに「寝言」(余計な部分)の内容を指定する事はできない。ただ、頭の中の情報(メモリ上のデータ)を小出しに喋ってしまうと言う不具合があった。(プログラムのミス)(特別な聞かれ方をした時だけ)

 

◆1-3. え?いつから?

この 「特別な聞かれ方をした時に寝言をいっちゃう病」 は、2011年12月から世界中のサーバ、、、しかも半数以上に、組み込まれていた。。。。(えええええええ!)

≪10段階評価で言えば、11だ!≫

と言う名言が何となく伝わったかも知れないが、この2年間以上、誰も気付かなかったのだから「かなり深刻な問題」なのだ。たった1人のフィンランド人に感謝しなければならない。(あるいはGoogle 社内にも気付いた人が居たとも)
beer-server

 

◆2. 不具合の名前=「心臓出血」

ハートブリード(Heartbleed)とは、「心臓の出血」と言う意味だ。(なんだそれ?)

 

◆2-1. ナンデ「心臓」?

今回問題になった『余計なお返事』は、「OpenSSL」(おーぷんえすえすえる)と言うソフトが返事している。

そもそも「OpenSSL」は、通信内容を暗号化する仕組み(ソフト)だ。この寝言発信は「暗号化に関係する会話」ではない。ちゃんと活動しているか?暴走してないか?オチてないか?を確認するための定期通信だ。

「死活監視」などとも言うが、その定期的に行われる死活監視通信が「心臓の鼓動」(heartbeat)と言う比喩的な機能名の由来となっている。(ま、心拍チェックと言うか、心電図と言うか、、、そんな感じ)

 

◆2-2. ナンデ「出血」??

『ハートブリード』自体は、不具合に対するニックネームだ。なので、センスの問題だ。オモンパカルに、中の情報(血)がボタポタと漏れる様なイメージを持ったのだろう。不具合ロゴもそんな感じだし。。。うんうん。

#やばい、文章に「疲れ」が見え始めた!!!

heartbleed

 

◆◆3. んで、、、大丈夫なの?

クラウド製品の開発会社がこんな事を言って良いのかどうか分からないケド、このインターネットと言うインフラは「欠陥だらけ」だ。(爆) 穴だらけの道路網と言ってもイイ。

いや「インターネット」だけではない、コンピュータ自体、まだまだ「欠陥だらけ」だ。(爆x2) メジャーなソフトの中にも、大きな不具合を抱えるソフトはきっとある。マイナーなソフトを入れると、ワンサカある。なにも『OpenSSL』の不具合だけが特別なのではない。

 

しかし、しかしそれでも、非常に便利で、非常に可能性に満ちたインフラである事は間違いない。

個人的な感想ながら、今回はキチンと対策したサーバが多いので、

「中小企業や個人のレベルであれば、≪致命的な実害≫はほとんどゼロなのでは。。。」

と思っている。 (行政や大企業や著名人は専門家に御相談を!)

 

以下は、もし公開される前に、悪の組織がこの不具合を知っていたのなら・・・(一流の技術者達が気付くより先に、超賢いショッカー達が見つけていたら)・・・と言う「仮定」の話。

(さらに、寝言を解析する力も持っていると言う前提)
(加えて、寝言をコツコツ集めると言う努力のヒトであると言う前提)

 

◆3-1. どのデータが被害にあった?

タチが悪いコトに、この「寝言」、ログが残らない。だから【何が漏れたか】が分からない。(なにいいいいいいいいいい!)

≪10段階評価で言えば、11だ!≫

の意味が益々伝わったかも知れない。そう、、、心臓から滴る「1滴」「1滴」を集めると、「暗号化に関わる部分の情報(パスワード・サーバ鍵)が収集できちゃうぢゃないのーー」と言われている。(それもまだ検証中っぽい)

#ちなみに「1滴」と言っても、最大で「6万文字分のデータ」だ。(65535バイトのメモリデータ)

 

◆3-2. 誰にバレタ?

もし悪の組織なら、複数のコンピュータからリクエストを投げるであろうことを考えると、【誰に漏れたか】も全く分からない。(ひょえーーーー!)

#アメリカでは、一部のメディアが「国家安全保障局は情報収集活用に活用(悪用)していたのでは?」と疑問を投げかけてみたが、当局は全身全霊で否定している。

 

◆3-3. サーバ側はナニすべきなの?

第一にソフトの不具合を修正する、、、、あたりは当たり前として。。。。 万が一の事を考えると「鍵の盗難(復元)」が完了している可能性が、、、無くはない。(この不具合を放置すれば、今後は盗まれる可能性が高まる)

と言う事で、念のために暗号化通信のキモである「鍵」を取り換える必要がある。事実、世界中のサーバで、次々と変更された。(シマンテックやトレンドマイクロなどから色々な情報がでている)

(セキュリティ団体やセキュリティ会社の「プロ」の情報を参考にしてね)

 

しかし、今どきは「常時制御できるサーバ」だけでなく、いろんな機械に「セキュアサーバ機能」がある。テレビ会議システムだの、IP電話だの、簡単にソフト更新できない通信機器もあるだろう。全てのソフトが更新されるには、まだしばらく時間がかかりそうだ。

 

◆3-4. ユーザ側はナニすべきなの?

たぶん、おそらく、大丈夫。。。

重要な情報を送信する予定が無いのなら、しばらくは「何もしない」のが吉だろう。

(いろんな所から情報を収集し)、サーバ側が不具合対策されている事が十分に信頼できるなら、「パスワード」等の情報を変更するのがイイ。悪の組織が「パスワードの盗聴(復元)」を完了させているかもしれない。。。 (←ナイと思うけど・・・)

 

◆3-5. ヤバそうな話

ちなみに被害事例は、今後増えてくると思う、、、

 

 

◆◆4. まとめ

コンピュータやインターネットは粗削りだが『可能性』がある。「人間なら100年かかる仕事」も1秒でできる道具だ。

大切なことは、、、「道具の特性を知り、上手に使う」と言うコトだね。

heartbeet-heartbleed

 

◆◆追伸:

ちなみに、クラウド型ワークフロー 『Questetra BPM Suite』 は不具合対策されてるの?

はい⇒ http://www.questetra.com/ja/info/maintenance-20140408/

2014-04-08 22:00 十分な事前告知なく緊急メンテナンス(数秒間)
2014-04-11 17:00 サーバ証明書の変更

 

Cloud-Workflow-QUESTETRA

 

.

IMAMURA Genichi の紹介

CEO & Founder - Questetra, Inc. || http://www.facebook.com/imamura.genichi
IMAMURA Genichi の投稿をすべて表示

あわせて読みたい
15.野望・展望・志 の前の記事 IT 会社には 「通信簿」 がある?
15.野望・展望・志 の次の記事 Twilio で電話の無いコールセンター!? (コールバック編その1)
IMAMURA Genichi の他の記事 ビジネスソフト業界の「毒」

アーカイブ

 RSS