history
歴史・事件解説
Heartbleed・Log4Shell・XZ Utils。大きな事件を振り返り、いま効く教訓だけを取り出す。
2026-06-07
Heartbleed(CVE-2014-0160)— 暗号通信の土台から記憶が漏れた事件
OpenSSLのメモリ過読み取りで、秘密鍵やセッションまで漏れうる事件。要求した長さより多くメモリを返してしまう実装ミスが原因。教訓は『漏れた前提で動く=証明書再発行・鍵と秘密の総入れ替え』と、土台ソフトの監視・メモリ安全性の価値。
2026-06-07
Log4Shell(CVE-2021-44228)— 世界中が一晩で“使っているか分からない”脆弱性に震えた日
Log4jの脆弱性(CVSS 10.0)。本質は『間接的な依存(推移的依存)で、知らないうちに使っている』怖さ。ログ出力という受け身の処理が攻撃経路になった。SBOMと依存の機械監視、迅速なパッチ、追随CVEの追跡が教訓。
2026-06-07
XZ Utils バックドア(CVE-2024-3094)— 信頼そのものが狙われたサプライチェーン事件
圧縮ライブラリxzに、信頼を得た維持者がバックドアを仕込んだ供給網攻撃。安定版到達寸前で一技術者の『遅い』という違和感が食い止めた。コードでなく『人と信頼』が狙われた。依存の最小化・版固定・再現性・違和感の追跡・維持者支援が教訓。