チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「OpenSSLの脆弱性って聞くと怖いけど、自社のサーバーが影響を受けるのかどう確認すればいい?」
「RSAの処理に問題があるって、暗号通信が盗聴される可能性があるってこと?」
チップスボス!
OpenSSLに脆弱性がまた出たって聞いたでしゅ!
RSAの処理で未初期化メモリが漏れるとか…何が起きてるんでしゅか?
ボスRSA鍵カプセル化の戻り値チェックに不備があった。
暗号化が失敗したのに成功扱いになり、メモリの中身がそのまま相手に渡る可能性がある。
地味だが、影響範囲は広いぞ。
2026年4月7日、OpenSSLプロジェクトがCVE-2026-31790を含む複数の脆弱性に対するセキュリティアドバイザリを公開しました。
最も深刻なCVE-2026-31790は、RSA KEM処理で暗号化に失敗した際に未初期化メモリが漏えいする問題です。
OpenSSL 3.x系の全ブランチが対象で、速やかなアップデートが求められます。
各脆弱性の仕組みと、アップデート対応のポイントを解説します。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
最も注意が必要なのは、RSA鍵カプセル化(KEM)に関するCVE-2026-31790です。
問題の本質は、RSA_public_encrypt()関数の戻り値チェックにあります。
この関数は失敗時に「-1」を返しますが、該当コードは「0以外なら成功」と判定していました。
その結果、暗号化が実際には失敗しているのに処理が続行され、暗号文バッファに残っていた未初期化メモリの内容がそのまま通信相手に送信されてしまいます。
Red HatのSimo Sorce氏が2026年2月23日にこの問題を報告し、Nikola Pajkovsky氏が修正を開発しました。
チップス戻り値のチェック間違いって…そんな単純なミスで暗号が崩れるでしゅか?
ボスセキュリティの世界では、たった1行のチェック漏れが致命傷になる。
「-1」と「非ゼロ」の違いは些細に見えるが、結果はまるで違う。
これが暗号ライブラリの怖さだな。
今回のアドバイザリではCVE-2026-31790以外にも6件の脆弱性が修正されています。
| CVE番号 | 概要 |
|---|---|
| CVE-2026-31790 | RSA KEM処理の未初期化メモリ漏えい |
| CVE-2026-28386 | AVX-512環境でのAES-CFB128バッファオーバーリード |
| CVE-2026-28387 | DANEクライアントのuse-after-free |
| CVE-2026-28388〜28390 | X.509証明書処理のNULLポインタ参照 |
| CVE-2026-31789 | 32ビット環境でのヒープバッファオーバーフロー |
影響を受けるのはOpenSSL 3.0〜3.6系です。
1.1.1および1.0.2は今回の脆弱性の影響を受けません。
以下の修正バージョンへのアップデートを実施してください。
即時アップデートが困難な場合は、EVP_PKEY_public_check()による公開鍵の事前検証を実装することで、CVE-2026-31790のリスクを暫定的に緩和できます。
チップスうちのサーバーのOpenSSLバージョン、確認しないとでしゅね。
「openssl version」コマンドで見れるんでしゅよね?
ボスその通りだ。
まずは全サーバーのバージョンを洗い出せ。
3.x系を使っているなら、今週中にアップデート計画を立てろ。
今回のOpenSSL脆弱性は、暗号ライブラリの基盤部分に潜む問題です。
CVE-2026-31790は「暗号化の失敗を検知できない」という根本的な欠陥であり、3.x系を利用している全組織が対象になります。
サーバーのOpenSSLバージョン確認と修正版へのアップデートを、優先度高で進めてください。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
