インターネットのセキュリティに不可欠のSSL(Secure Sockets Layer)とTLS(Transport Layer Security)を提供する「OpenSSL」は、間違いなくインターネットにおける最重要技術の一つだが、「Heartbleed」や「FREAK」など深刻な脆弱性の発見が後を絶たない。そうした中、OpenSSLの潜在的なセキュリティホールを事前に洗い出して悪用に歯止めをかけるべく、技術力に定評のあるセキュリティ企業NCC GroupがOpenSSLのコードを監査することになった。
OpenSSLのコードは以前から監査の必要性が叫ばれていたが、「火中の栗を拾う」役目に自ら手を挙げる者が現れずに時間だけが経過していた。今回、ついにこの役目を担うことになったNCC Groupは、Core Infrastructure Initiative(CII)からの資金提供を受けて監査を行う。CIIはLinux Foundationが開始した資金提供プロジェクトで、OpenSSL、OpenSSH、NTP(Network Time Protocol)など、重要性が高いにもかかわらず資金難に苦しむオープンソースプロジェクトを支援することを目的としている。
NCC GroupのプリンシパルエンジニアであるThomas Ritter氏は、次のように述べている。「今回発表された監査は、インターネットを支える技術の一つを深層まで掘り下げるまたとない機会であり、当社がその役目に選ばれたことをとても光栄に感じている。コードの再構成が完了した今、OpenSSLのコードベースはようやく監査に耐えるレベルまで安定した。OpenSSLは、学術界、静的解析を専門とする企業、各種の検証組織、個人で活動する技術者など、幅広い層によって長年にわたり精査および改善されてきたが、当社がこれから開始する監査は、これまでで最も大規模かつオープンな試みとなる。この監査でコードベースの隅々まで網羅するのは難しいが、OpenSSLの構造とセキュリティを改善するうえで、監査は大変に有意義な試みであると確信している」
NCC Groupは今回の監査で、主にTLSスタックのプロトコルフロー、状態遷移、メモリ管理に注力して検証する。また、BIOと主要な暗号化アルゴリズムも検証し、ASN.1とx509パーサのテスト手法を確立する。
Ritter氏によると、今回の監査は相当に大規模な試みとなるため、OpenSSLチームと共同で予備的な監査結果を発表できるのは、2015年の初夏になる見通しであるという。OpenSSLがインターネットに果たす役割の重要性と、これまでに露呈した脆弱性の深刻度を鑑みると、この監査による一刻も早いコードの改善が望まれる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
