2014 年のソフトウェアの脆弱性ラッシュまとめ

photo credit: timsamoff via photopin cc

photo credit: timsamoff via photopin cc

管理人はIT業界で働いているのですが、2014年は、以下のようにOpenSSL,Apache, IE(InternetExplorer)といったメジャーなソフトウェアの脆弱性が見つかった年となりました。

 

 

スポンサーリンク

この有様はまさに脆弱性ラッシュ。
特に、OpenSSLは2月連続で脆弱性が見つかり、影響範囲が広い事も相まって各所で修正パッチ適用などが相次ぐ悲惨な騒ぎになりました。

 

当然、私の本業でも、必然的にこれらの脆弱性(特にOpenSSL)の対応に追われました。
2014年ももう少し続きますが、印象的な事象が多数起きたので今回まとめたいと思います。

 

主要なソフトウェアの脆弱性によるインパクト

 
Webサービスの場合、これらの脆弱性の対応としては公開された修正版への更新だけで済むことが大半です。

 

しかし、運用で使用しているサーバのOS(Linuxなど)自体にこれらのソフトが使用されている場合、基本的には停止不可の装置であるサーバは、修正版への更新にはユーザーを含めた利害関係者との調整が必要であるため、どうしても対応が後手後手に回ります。

ここの隙を突かれたのが、国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か(ITPro)でした。

 

なんとなくですが、今回の対応では、特に日本企業に対応が後手に回る傾向がありました。
このあたりはスピード感と完全性(切り戻し)の重視のバランスを考慮した結果だと思います。

 

InternetExplorerの脆弱性によるインパクト

私の知り合いの企業では、IEの脆弱性のために、一時的にIE禁止令が出たところがあります。

 

現在は脆弱性の修正プログラムが出ているので騒動は収まったですが、 ChromeやFireFoxなどのブラウザを新たに入れ直すなど、相当な騒動だったとのことです。

 

こういったメジャーなソフトウェアは一般的に使われているもののため、拡張プラグインも多数でていて便利に使われる反面、一度セキュリティホールや脆弱性が発見されると、影響度が大きいということを今回の騒動で実感させられました。

 

ソフトウェアという製品の性質上、今後もこういったマイナス面は起こりえます。

今回行った対応を記録しておき、次回対応に活かしていきたいものです。

スポンサーリンク