OpenSSLの脆弱性

昨今、OpenSourceの利用に関しては以前よりGPLライセンスやGDPRで気にされている企業も増えてきたかと思います。

本項のテーマであるOpenSSLが脆弱であるというニュースは、数年前のHeart bleedによって大きく広まりました。

※現在では、Heart bleedをキーワードに検索をすれば、数多くのサイトで詳細な説明が見つかります。

数百万のWebクライアントとサーバーやOpenSSLベースのプロトコルを使っているデバイスに対して、悪質なコードからのリモート実行をされる可能性があります。

ただし、OpenSSLの脆弱性に関して公開されたのはこれが初めてではありません。

こちらはOpenSSLプロジェクトが公開している既知の脆弱性をリストです。

この中には、RSA PKCS #1 v1.5/Common Name Null終端攻撃/様々なDoS攻撃/FIPSモジュール破壊/Headbleed以外のメモリリーク等が存在します。

脆弱性:https://www.openssl.org/news/vulnerabilities.html

また、日本国内であればIPA(独立行政法人 情報処理推進機構)からの注意喚起も存在しますので役に立つと考えます。

IPA:https://www.ipa.go.jp/security/vuln/documents/2009/200909_openssl.htmlhttps://www.ipa.go.jp/files/000028335.pdf

今後さらに多くのOpenSSLのセキュリティ上の脆弱性が発見される可能性があります。Heart bleedの時でも、わずか二か月後に新しい脆弱性が明らかになりました。

これは1998年からOpenSSLコードに存在していたバグです。単に今まで発見されていなかっただけなのです。

もしあなたの会社が、それでもOpenSSLを使っていたがゆえに攻撃者の標的となった場合を想像して下さい。

企業イメージを損なうばかりか、莫大なコストがかかる可能性があります。

事例1 

参考:http://www.security-next.com/048185

事例2

参考:https://www.nikkei.com/article/DGXNASFK1602U_W4A410C1000000/

これが1つ目の大きな課題です。

脆弱性以外の課題も抱えている

以下の観点でも課題があります。

・サポート/サポート期間（LTS）

    必要な時、必要な対策/サポートを得る事が難しいと言えます。

    それは、多くのオープンソースと同様にボランティア貢献で支えられているOpenSSLは歴史的に見ても、資金/リソース不足な為です。

    また、資料整備という面でも変化するソフトウェアに対応しきれないという課題に直面しており、大きなトピックの多くが[STILL INCOMPLETE]となっています。

・FIPS認定

    最新のTLS1.3に対応するOpenSSL1.1.1は、まだFIPS認定を取得出来ていません。また予定もアナウンスがされていない状況です。

・非常に大きく複雑なコードベース

    OpenSSLは、約45万7千行のコードです。OpenSSLが、1,000行のコードあたり15〜507バグという業界標準の欠陥率と一致すると仮定するとOpenSSLには6855〜22850のバグがあることになります。

・プロジェクトとして焦点が定まっていない

    デフォルトであまりにも多くのオプションを有効にしています。どのオプションを/どのように無効にするかを調べるには時間的コストが再び増加します。また、不要なオプションをオンのままにしておくと、セキュリティ侵害に関連する潜在的なコストは高くなります。