第334号コラム「今年はソフトウェア脆弱性の当たり年?」 | デジタル・フォレンジック研究会第334号コラム:上原 哲太郎 理事 (立命館大学 情報理工学部 情報システム学科 教授) 題:「今年はソフトウェア脆弱性の当たり年?」 今年(2014年)は本当に驚くほど深刻かつ影響範囲の大きいソフトウェア脆弱性が次々報告されており、後年から「当たり年」として記憶されるような年になりそうです。まずはそれを振り返ってみましょう。 まず4月、広範に使われているSSL/TLSライブラリであるOpenSSLに深刻な脆弱性が見つかりました。これはSSLの仕様にあるHeartbeatという機能の実装の不具合に起因していまして、攻撃者はこの不具合を突いてOpenSSLが用いられている各種サーバのプロセス内のメモリの一部を読み取ることができます。このメモリ内には、直前の利用者のユーザ名やパスワード、HTTPS通信時のCookie、そしてサーバ側の秘密鍵が入っている可能性があります。この脆弱性はその攻撃の
