先週、IT 関連メディアのヘッドラインは「Heartbleed」脆弱性に関するニュースで埋め尽くされ、多くの企業は同脆弱性の引き起こすリスクへの対応に追われた。

Heartbleed 脆弱性を悪用したセキュリティ侵害で初の逮捕者
Heartbleed が世界のインターネットにどれだけの影響を与えたのか、被害はどの程度のものだったのかについては、まだ明らかにされていない。だが4月16日、Heartbleed に関連した最初の逮捕者が出た。

カナダ連邦警察は、Heartbleed 脆弱性を悪用し、カナダ歳入庁のシステムに侵入した19歳の学生 Stephen Arthuro Solis-Reyes 氏を逮捕した。逮捕時に発表された声明には、次のようにある。

「カナダ連邦警察はこのセキュリティ侵害事件を深刻なものとして受け止め、事態の早急な解決に向け必要な人員の動員を行っている」

Heartbleed 脆弱性は4月7日、OpenSSL プロジェクトの公表により明らかとなった。OpenSSL 暗号化ライブラリは、データ転送の安全性を高めるため、世界中の Linux サーバー や Web サイトで利用されている。

Heartbleed 脆弱性を修正するパッチは、4月7日の発表後すぐにリリースされたが、パッチが稼働中のシステムに適用されるまでには、若干のタイムラグが生じた。CRA に対する攻撃はそれを突いたもの。カナダ歳入庁は4月14日、同組織の Web サイトは、サイトがシャットダウンされパッチが適用されるまでの間、およそ6時間攻撃に曝されていたことを認めている。この間に、カナダの納税者の社会保険番号およそ900件が盗まれた。

現段階では、Stephen Arthuro Solis-Reyes 氏がなぜカナダ歳入庁を攻撃したのか、入手したデータを何に利用しようと考えていたのかは明らかにされていない。

カナダ歳入庁へのセキュリティ侵害発覚後、Solis-Reyes 氏が逮捕されるまでの時間は驚くほど短かった。Solis-Reyes 氏はプロのアタッカーではなく、自分の ID や IP アドレスを秘匿していなかったため、カナダ連邦警察が短期間で犯人を特定できたのではないかと、現時点では見られている。

カナダで発生したこの一件は、世界初の逮捕者を出した。だが Heartbleed が世界に与えた影響を考えると、実際にはより多くの組織が被害を受けている可能性がある。Heartbleed による被害の全容は、今後徐々に明らかになっていくことだろう。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。