Heartbleedが自分の範疇外だと思っているアプリエンジニアたちへ

heartbleedいまさらHeartbleedの話題?とお思いの方もいらっしゃるかと思いますが、自分の周りで、opensslはインフラ担当の範疇だから自分の業務とは無関係だと思っているアプリケーションエンジニアが多い事に危機感を感じ、この記事を書くことにしました。

使っているサーバーにインストールされているopensslのバージョンを細かく調査したり、Windowsサーバーでしか動作させていないとの理由で自分は関係ないと言うならばまだしも、本当にインフラの問題だから…と言い切ってしまって良いのでしょうか?
アプリケーションというものがApacheやopensslと言ったミドルウェア(いわゆるインフラ)の上で動いている以上、私はこの判断はNOだと思っています。
Heartbleedは、簡単に言うと脆弱性が存在するサーバーのSSLで使われるメモリ上のデータを読み取ることができるというものです。
このメモリ上には当然ユーザーのアカウントやパスワードも含まれます。
(技術的な解説はDeNAさんのMobage Developers Blogにわかりやすく書かれていました)

これでもまだインフラのことだから無関係だと言えますか?

たしかに漏洩する原因はopensslに起因するものかもしれません。
でも実際にそのパスワード等を管理しているのはアプリケーションであり、悪用されるのはアプリケーションレイヤーの話です。

今、アプリケーションエンジニアがとるべき対応としては、まずはインフラを担当するエンジニアにopensslのバージョンアップとSSLの再発行およびインストールを一刻も早くやってもらうよう促すこと。
並行して、SSL更新前に作成されたパスワードではログインできないようにアプリケーションを改修し、強制的にユーザーにパスワードを再発行させるようなロジックを組み込みましょう。(パスワード漏洩に対する対策の一例です)

このHeartbleedの問題で、カナダでは納税者約900人の社会保障番号が削除されるという大きな被害が出ていたりもします。
自分はアプリケーション担当だからとか、インフラ担当だからのような縦割りの仕事の仕方、もう辞めにしませんか?

この投稿へのコメント

コメントはありません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

この投稿へのトラックバック

トラックバックはありません。

トラックバック URL