海外記事、ブログ、記事にならない情報について、ITmedia エンタープライズ海外記事担当から一言

Heartbleed Bugはこうしてデータを盗む、のわかりやすい6コマ漫画

»

「実はNSAはHeartbleedを2年前から知っていてこっそり悪用していた」とBloombergが報道すれば、「いや、そんなもん知らなかった」とNSAがTwitterで正式に否定したり。

「この脆弱性をつくのは結構難しいからそれほど被害は大きくないかも」とCloudFlareがみんなを安心させたと思ったら、すぐに「さっきのは間違え。善玉ハッカーにテストしてもらったらあっさり破られちゃった」と訂正したり。

この週末もてんやわんやです。

一般ユーザーが自己防衛のためにできることは限られていることもあり、いまだにピンとこない人も多いのではないでしょうか。

この問題、セキュリティ関係の記事には「TLS/DTLS Heartbeat拡張の実装に問題があり、通信相手からメモリ上の情報、例えば暗号化通信に用いるSSLサーバー証明書の秘密鍵、ひいてはユーザー名やパスワード、あるいはメールや重要な文書など、暗号化しているはずのコンテンツが読み出されてしまう恐れがある」と書かれています。すごいですね。そんな問題が2年以上そのままになっていたなんて。

ところで、Webコミックxkcdが、6コマでHeartbleed Bugのしくみを単純化して説明してくれました。

これによると、Heartbeatというのはサーバが動いているかどうかリモートで確認するための機能(pingみたいなものですね)で、「動いてますか? 動いているなら4文字のなんたらという単語を返してください」と尋ねます。例えば、「4文字のBIRDを返して」ときけば、サーバが動いていれば「BIRD」と返します。

これを悪用して、「(本当は3文字なのに)500文字のHATを返して」ときけば、サーバは「HAT」に続く497文字分の情報を返してくれます。

だから、Heartbeatを根気よく続ければ、HAT以下のデータを延々と返してもらえることになります。

なるほどー。(xkcdはオリジナルURLを添えれば転載OKにしてくれているので、以下に転載します。)

Bleed

しくみがわかったからといって、一般ユーザーが対処できることがあまりないことには変わりないですが、恐ろしさが実感できるんではないでしょうか。

【修正履歴】当初「4コマ漫画」としていましたが、6コマあるので訂正しました。xkcdのコミックは4コマなことが多いので思い込みでそんなことを。数えなさい>自分。

Comment(0)

コメント

コメントを投稿する