でも多分、氷山の一角。

多くのサイトで使われているOpenSSLに見つかった巨大バグ、Heartbleedを使った犯罪がついに発覚しました。カナダの19歳男性がHeartbleedを悪用してカナダ政府のサイトから納税者情報を盗み出していたんです。これは、Heartbleed関連では初の逮捕者となります。

カナダ歳入庁によれば、 Stephen Solis-Reyes容疑者はHeartbleedの脆弱性を突いて社会保険番号を少なくとも900件盗み出しています。同庁ではこれを盗みとして扱うかどうかまだ決めていませんが、現時点ではコンピューターの不正利用とデータに関する器物損壊を逮捕理由としています。

Heartbleedを使った攻撃といっても、仕組み的に言ってそんな攻撃だけをピンポイント検知することはできないはずなので、どうして逮捕できたのかはちょっと謎です。もしかしたら容疑者が盗んだデータを使って何か別の犯罪をしたのかもしれませんが、今のところ詳細はわかっていません。

さらに、容疑者によるデータ入手がいつなのか、つまりHeartbleedが公に認知される前だったのか後だったのかもわかっていません。どちらにしても、Heartbleedの悪用事件は今後ボロボロ見つかると思われます。ので、まだこのへんのサービスのパスワードを変えてない方はぜひ変更してください！

source: Reuters

Ashley Feinberg - Gizmodo US［原文］

（miho）