Heartbleed の影響は、クライアント ソフトウェアにも等しく及んでいる。Web クライアントや電子メールクライアント、チャットクライアント、FTP クライアント、モバイルアプリ、VPN クライアント、そしてソフトウェアアップデータなどが該当する。脆弱なバージョンの OpenSSL で SSL/TLS 通信するクライアントであれば、どれも攻撃を受ける恐れがあるという。
さらに、Heartbleed は、プロキシ、メディアサーバー、ゲームサーバー、データベースサーバー、チャットサーバー、FTP サーバーなど、Web サーバー以外のサーバーにも影響を与える。それどころか、ハードウェアデバイスでさえ Heartbleed 脆弱性の影響を免れることはできない。ルータ、PBX(ビジネス電話システム)、そしておそらくは IoT(モノのインターネット)に分類される無数のデバイスも影響を受ける。
シマンテックでは、今回公開したブログの中で、クライアントソフトウェアや IoT デバイスに対する攻撃手法の仕組みについて、以下のように紹介している。
攻撃側のクライアントが脆弱なサーバーに悪質な Heartbleed メッセージを送り付け、サーバーが個人データを漏えいしてしまう、という説明があるが、その逆方向でも攻撃は成り立つそうだ。
脆弱なサーバー自身が悪質な Heartbleed メッセージをクライアントに送信すると、クライアントはそのメモリ上にある別のデータを伴って応答し、資格情報や個人データが公開される可能性があるからだという。
 |
| クライアントが脆弱なサーバーに Heartbleed メッセージを送り、 サーバーが個人データを漏えい(上) 脆弱なクライアントがサーバーに接続し、 サーバー自身が Heartbleed メッセージをクライアントに送信(下) |
