Symantec が発表した「Heartbleed」に関する最新情報によると、Heartbleed についての議論のほとんどが脆弱な公開 Web サイトに集中しているが、バグの影響はそれ以上に及んでいるそうだ。

Heartbleed の影響は、クライアント ソフトウェアにも等しく及んでいる。Web クライアントや電子メールクライアント、チャットクライアント、FTP クライアント、モバイルアプリ、VPN クライアント、そしてソフトウェアアップデータなどが該当する。脆弱なバージョンの OpenSSL で SSL/TLS 通信するクライアントであれば、どれも攻撃を受ける恐れがあるという。


さらに、Heartbleed は、プロキシ、メディアサーバー、ゲームサーバー、データベースサーバー、チャットサーバー、FTP サーバーなど、Web サーバー以外のサーバーにも影響を与える。それどころか、ハードウェアデバイスでさえ Heartbleed 脆弱性の影響を免れることはできない。ルータ、PBX(ビジネス電話システム)、そしておそらくは IoT(モノのインターネット)に分類される無数のデバイスも影響を受ける。

シマンテックでは、今回公開したブログの中で、クライアントソフトウェアや IoT デバイスに対する攻撃手法の仕組みについて、以下のように紹介している。

攻撃側のクライアントが脆弱なサーバーに悪質な Heartbleed メッセージを送り付け、サーバーが個人データを漏えいしてしまう、という説明があるが、その逆方向でも攻撃は成り立つそうだ。

脆弱なサーバー自身が悪質な Heartbleed メッセージをクライアントに送信すると、クライアントはそのメモリ上にある別のデータを伴って応答し、資格情報や個人データが公開される可能性があるからだという。

Heartbleed で「モノのインターネット」も危険に、シマンテックが警告
クライアントが脆弱なサーバーに Heartbleed メッセージを送り、
サーバーが個人データを漏えい(上)
脆弱なクライアントがサーバーに接続し、
サーバー自身が Heartbleed メッセージをクライアントに送信(下)