[技術]OpenSSL の脆弱性に関して

先日発覚して一大ニュースとなったOpenSSL問題に関して
一技術者の目線で考えてみようと思います。
※各方面で既出の内容になるかもですが、ご容赦ください

OpenSSL問題 → 「OpenSSL脆弱性「Heartbleed」」

■OpenSSL とは?
まずOpenSSLとはどのようなものなのか。
ネット上で調べたりすると「暗号通信技術」とか「SSL/TLS」とか
いろいろと小難しいことが書かれていますが
簡単に言えば

「ネット上で入力した内容(個人情報)を守るための技術」

と思って頂ければいいかと思います(ざっくりしすぎですが…)
主に「https://~」となっているWebサイトで使われています。
例)GMail、Facebook、ショッピングサイト、会員サイトなど

イメージとしては、送る情報が入った鍵のかかった金庫を
郵便屋さん(OpenSSL)に送ってもらう感じでしょうか。
金庫を開けるための鍵は送り先がもっている

■なにが問題なのか?
「金庫を開けるための鍵は送り先がもっている」と書きました。
しかし、この問題ではその金庫に鍵をかけない状態で
郵便屋さんに送ってもらうことになることになります。
#金庫が盗まれてしまえば中身は見られ放題。

なので、ショッピングした際に使用したクレジットカード番号や
銀行口座番号、パスワードなどが盗まれてしまうことが
起こる可能性が高まってしまいます。

これっておそろしいですよね・・・

■なぜ起こったのか?
こんな記事があります。


OpenSSLに脆弱性、バグは2年前から存在
(引用元:CNN.co.jp)

バグは2年前から存在

この技術は全世界のWebサイトで導入されているものなので
対応が大変なのはわかります。
防ぐためには提供側、使う側の両方が対策が必要ですし。

しかし、2年間もの長い間公表しなかったのはどうかと感じます。
知らずに発覚したのと、知ってて発覚したのでは大きく違いますし。
脆弱性の内容が内容なだけに。。。

私の考える起きた理由は
スマホ/タブレットが普及し、容易にインターネットに
つなぐことができることになったことに加え、SNSの普及と
https接続が日常的になってきたこともあり、事が起こって
からではまずいからなのではないかと考えます。

一般的なシステム開発 / サービス開発 という観点で
考えれば(内容にもよりますが)2年間も知らない振りを
していたというのは大問題になっていたことでしょう。
※実際騒ぎにはなりましたが・・・

私自身も過去、サービスイン後に問題が見つかったりして大変な
思いをした経験があるので背筋が凍る思いです…
 
 
安心と言われていたOpenSSLがこんなことになるとは・・・
多くの方に使われているものだからといっても技術は人が作りしもの。
慢心してはいけないということですね。

発覚するまでの間に情報が盗まれたりしていなかったか心配です。。