結局のところ「ホワイトリスト」とは何なのか：セキュリティクラスタ まとめのまとめ 2016年3月版（1/3 ページ）

連載目次

　3月のセキュリティクラスタは、月初めから名前の付いたOpenSSLの脆弱（ぜいじゃく）性が2つ同時に公開されたことで身構えた人も多かったようですが、最終的にそれほどの影響はなかったようで、大騒ぎにはなるまでには至りませんでした。

　3月14日には地方税納付のためのオンラインシステム「eLTAX」の仕様変更が発表されましたが、2016年の今ActiveXを採用したことが明らかになり、批判の的になりました。また、Webの世界でよく使われている「ホワイトリスト」の定義をめぐって、再び議論が巻き起こりました。

OpenSSLの「CacheBleed脆弱性」と「Drown脆弱性」が発表される

　3月1日にOpenSSLに関する2つの大きな脆弱性、「CacheBleed脆弱性」と「DROWN（Decrypting RSA with Obsolete and Weakened eNcryption）脆弱性」が公表されました。2月末に“重大な脆弱性を含む更新”が予告されていたこともあり、警戒していた人も多くいたようですが、ふたを開けてみればそれほど実務に影響はなかったようです。

　ただ、CacheBleed脆弱性はOpenSSLやLibreSSL、NSS（Network Security Services）などに存在した問題で、「CPUを共有しているマシンにおいて、悪意を持ったユーザーが他のユーザーのRSA秘密鍵を盗み出せる可能性がある」というものでした。とても危険な脆弱性ではあるのですが、攻撃を行えるCPUが限定されていることや、攻撃者がCPUを共有している必要があるということから、直接影響がある人は少なかったようです。

　また、DROWN脆弱性はSSLv2プロトコルの問題で、「ハンドシェイク時のデータを解析することで、暗号化されたはずのデータが復元されて読まれてしまう」というこちらも非常に危険度の高い脆弱性でした。SSLv2だけでなくGoogleの開発した「QUIC（Quick UDP Internet Connections）」というプロトコルにも同様の問題があるそうです。

　DROWN脆弱性もCacheBleed同様に非常に大きな脆弱性ではあるのですが、2014年の「Heartbleed」や「POODLE」、そしてちょうど1年前の2015年3月に話題となった「FREAK」など、OpenSSLやSSL/TLSプロトコルについては、脆弱性が近年複数報告されていたこともあって、セキュリティクラスタでは既に組織内などでSSLv2を無効化している人も多かったようです。そんなわけで当初警戒された程には、急な対応に追われているようなツイートは見られませんでした。